MEMORIA 2009 - AEPD · La Memoria 2009 incorpora la información más destacada y ofrece un...

MEMORIA 2009

Como cada año me llena de satisfacción poder presentar la memo-ria anual de la Agencia Española de Protección de Datos y, con ello, poder ofrecer una visión integral sobre el estado de situación de la protección de datos en nuestro país.

Esta institución siempre ha valorado enormemente la publicación de este documento por suponer una forma de dar a conocer tanto a ins-tituciones públicas como privadas y, en general, a los ciudadanos la forma en la que se materializa la tutela del derecho fundamental a la protección de datos, Y con ello, el mejor modo de expresar nuestro compromiso con la labor que tenemos encomendada.

La Memoria 2009 incorpora la información más destacada y ofrece un análisis de los principales indicadores que permiten evaluar el nivel de implantación de la normativa de protección de datos, ade-más del alcance de las tensiones y retos a que está sometido, hoy, el derecho fundamental a la protección de datos; principalmente, en relación con el trepidante ritmo de la revolución tecnológica y, en particular, con el desarrollo de servicios con un gran impacto en la privacidad de los ciudadanos.

Asimismo, a lo largo de las próximas páginas los lectores podrán apreciar como los diferentes proyectos e iniciativas puestos en mar-cha por la institución en los últimos años han permitido la existencia

de una mayor concienciación social respecto a la protección de datos de carácter personal. Así lo ponen de relieve, no solo el notable in-cremento del ejercicio de las funciones que tiene encomendadas la AEPD, sino, también, estudios demoscópicos que, como el baróme-tro del Centro de Investigaciones Sociológicas (CIS), muestran que en los ciudadanos existe una creciente preocupación por la protec-ción de datos y el uso de su información personal.

La Memoria dedica un apartado específico a la actividad internacio-nal desarrollada por la institución, y a algunas de las novedades más destacadas en el marco normativo europeo que, como el Tratado de Lisboa, han incidido de manera directa en la materia que nos ocu-pa. Mención especial merecen, por su trascendencia, las referencias contenidas en la memora relativas a la celebración, en noviembre de 2009, en Madrid, del mayor foro dedicado a la privacidad a nivel mundial, la “31 Conferencia Internacional de Autoridades de Protec-ción de Datos y Privacidad”, y la aprobación de la “Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la Privacidad”.

Como en años anteriores, se incluye en la Memoria un apartado dedicado a la “Agencia en cifras” con información estadística que permite valorar de manera gráfica la actividad desarrollada por la Agencia en 2009. Asimismo, la Memoria de 2009 vuelve dirigir a los

< índIcE >

«La Memoria 2009 incorpora la información más destacada y ofrece un análisis de los principales indicadores que permiten evaluar el nivel de implantación de la normativa de protección de datos»

poderes públicos un catálogo de “Recomendaciones” con el fin de que éstos promuevan y pongan en marcha iniciativas, en ámbitos que merecen atención específica, que fomenten la efectiva garantía del derecho fundamental a la protección de datos.

En cualquier caso, quienes requieran una información más específi-ca y amplia, pueden acudir a la documentación recogida en la página Web de la Agencia, (www.agpd.es), recientemente renovada con el fin de incrementar su utilidad práctica.

A nuestro juicio, resultará evidente para el lector que, en el mundo actual, son muchos los interrogantes y retos que se suscitan en to-dos los ámbitos y espacios posibles, para las autoridades garantes de la protección de la privacidad y la protección de datos. Por ello,

un año más espero que los datos aportados en la presente Memo-ria permitan a todos sus destinatarios valorar nuestra apuesta per-manente de crecimiento y mejora, el esfuerzo y empeño de todo el personal al servicio de la Agencia Española de Protección de Datos para desarrollar satisfactoriamente las funciones que tiene enco-mendadas, y el cada vez más importante papel que desempeña esta institución en la sociedad actual.

Artemi Rallo LombarteDirector de la Agencia Española de Protección de Datos.

« Los proyectos e iniciativas puestos en marcha por la institución en los últimos años han permitido la existencia de una mayor concienciación social respecto a la protección de datos de carácter personal»

MEMORIA 2009

< índIcE >

EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL: SITUACIÓN ACTUAL Y PERSPECTIVAS DE FUTURO 7

1. UNA SOCIEDAD MÁS INFORMADA Y CONSCIENTE DE SUS DERECHOS 8

A. UNA MAYOR CONCIENCIACIÓN SOCIAL ANTE LOS RIESgOS EN INTERNET 8

b. LOS CIUDADANOS MÁS SENSIbILIzADOS CON SUS DERECHOS 9

C. NUEVAS INqUIETUDES: ¿CÓMO DESAPAREzCO DE UNA PÁgINA wEb? ¿TENgO qUE RESIgNARME A ESTAR ExPUESTO EN INTERNET? ¿CÓMO EjERzO MI DERECHO AL OLVIDO? 11

2. gARANTIzAR EL EFECTIVO Y EFICAz CUMPLIMIENTO DE LA LOPD 13

A. FACILITAR EL CUMPLIMIENTO DE LA LEY: UNA gARANTíA PARA LOS CIUDADANOS 13

b. UN AFÁN PERMANENTE POR LA SEgURIDAD jURíDICA 17

C. UNA DEMANDA CRECIENTE DE gARANTíAS: UNA RESPUESTA ACTIVA DE LA AgENCIA 23

3. LA PRIVACIDAD EN RIESgO: LOS gRANDES INTERROgANTES 30

A. INTERNET. NUEVOS SERVICIOS, NUEVOS RETOS 30

b. LOS MENORES. UNA PROTECCIÓN NECESARIA ANTE SU PRESENCIA CRECIENTE EN LA RED 31

C. LA VIDEOVIgILANCIA: CONVIVIR CON gARANTíAS 33

D. ENTORNO LAbORAL: EqUILIbRIO ENTRE DERECHOS Y ObLIgACIONES 35

E. LOS FLUjOS INTERNACIONALES DE DATOS. FLExIbILIDAD Y gLObALIzACIÓN 36

4. 2009. MADRID, CAPITAL MUNDIAL DE LA PRIVACIDAD. LA RESOLUCIÓN DE MADRID: UN PUNTO DE ENCUENTRO PARA UNA REgULACIÓN gLObAL 37

5. CLAVES PARA EL DESARROLLO DE UN NUEVO MARCO EUROPEO DE PRIVACIDAD 38

A. TRATADO DE LISbOA 38

b. PROgRAMA DE ESTOCOLMO 38

C. FUTURO DE LA PRIVACIDAD 38

6. RECIENTES DESARROLLOS INTERNACIONALES 40

A. REDES SOCIALES ONLINE 40

b. CÓDIgO DE PRIVACIDAD DE LA AgENCIA MUNDIAL ANTIDOPAjE 40

C. OPINIÓN SObRE LA MODIFICACIÓN DE LA DIRECTIVA 2002/58/CE 41

D. LA RED IbEROAMERICANA DE PROTECCIÓN DE DATOS 41

7. COOPERACIÓN CON LAS AgENCIAS AUTONÓMICAS DE PROTECCIÓN DE DATOS 43

RECOMENDACIONES 45

RECOMENDACIONES 47

A. RECOMENDACIONES NORMATIVAS 47

b. RECOMENDACIONES EjECUTIVAS 47

LA AgENCIA EN CIFRAS 49

1. INSPECCIÓN 50

2. gAbINETE jURíDICO 61

3. ATENCIÓN AL CIUDADANO 69

4. REgISTRO gENERAL DE PROTECCIÓN DE DATOS 71

5. PRESENCIA INTERNACIONAL DE LA AEPD 88

6. SECRETARíA gENERAL 92

ANNUAL REPORT 95

MEMORIA 2009

< índIcE >

EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL:SITUACIÓN ACTUAL Y PERSPECTIVAS DE FUTURO

< índIcE >

A. UnA MAyor concienciAción sociAL Ante Los riesgos en internet

La protección efectiva de los ciudadanos en el uso de sus datos per-sonales exige no sólo un mayor conocimiento de la normativa que les protege y un ejercicio efectivo de los derechos que les reconoce sino, también, que su nivel de concienciación se adapte a los nuevos riesgos que afectan a su privacidad.

Si la preocupación de los ciudadanos quedara reducida a tratamien-tos tradicionales de su información personal como la recepción de publicidad postal no solicitada o la inclusión en los denominados fi-cheros de morosidad, resultaría difícil afirmar, por muy conocedores y activos que fueran en el conocimiento de las normas y en el ejerci-cio de sus derechos, que disfrutan de una protección efectiva.

Una valoración realista de sus garantías hace imprescindible ana-lizar qué conocen sobre los riesgos que plantea el desarrollo tec-nológico y los nuevos servicios en Internet y cómo reaccionan ante ellos.

Los datos del año 2009 permiten apreciar un incremento de la con-cienciación ciudadana ante estos retos.

El barómetro del Centro de Investigaciones Sociológicas (CIS) de septiembre de 2009 refleja, en relación con la confianza de los ciu-dadanos en Internet, que los usuarios creen que es el lugar en que la seguridad y privacidad de sus datos es más deficiente, considerando un 56,6% que es baja o muy baja.

Aunque se reconoce que Internet facilita la obtención de información y la comunicación entre las personas, más del 70% considera que su uso favorece la intromisión en la vida privada, citándose, como servicios que generan mayor desconfianza, las redes sociales, los servicios de mensajería y los chats. En particular, la inclusión de fo-tografías o videos propios o de familiares o amigos en Internet ofre-ce para el 76,7% de los ciudadanos poca o ninguna seguridad.

1. UnA socieDAD MÁs inForMADA y consciente De sUs DerecHos

Esta preocupación es mayor respecto de los menores, considerando más del 80% de los ciudadanos que los menores de edad deben te-ner controles en el acceso a Internet.

Los datos que se han destacado confirman la tendencia que se apun-taba en la encuesta del CIS de 2008, lo que permite considerar que la inquietud ciudadana sobre los riesgos en Internet no es meramente coyuntural, sino una realidad consolidada.

La AEPD ha realizado un esfuerzo específico para impulsar el co-nocimiento ciudadano de los riesgos en Internet y para poner a su disposición medidas adecuadas para evitarlos.

La Agencia ha realizado en colaboración con en el Instituto Nacional de Tecnologías de la Información (INTECO) un estudio sobre la priva-cidad de los datos personales y la seguridad de la información en las redes sociales on-line que incluye un análisis jurídico, sociológico y tecnológico de estos servicios, así como recomendaciones y conse-jos dirigidos a fabricantes y proveedores de servicios de seguridad informática, prestadores de servicios de acceso a Internet, adminis-traciones e instituciones públicas y, especialmente, a usuarios de las redes sociales.

Con una perspectiva más general, se actualizó la guía de las reco-mendaciones a usuarios de Internet que analiza los principales ries-gos que aparecen actualmente en la Red y enumera recomendacio-nes para tratar de prevenir sus efectos. La guía destaca la necesidad de proteger a los menores en la red y apela a la responsabilidad de los internautas en el entorno de la llamada web 2.0, ante las posibi-lidades de difusión de información personal propia o de terceros que ofrecen servicios como las redes sociales o blogs.

Pero no cabe duda de que han sido los medios de comunicación los que han jugado un papel decisivo en la concienciación de los ciudadanos.

El año 2009 marca un antes y un después en la oferta de informa-ciones que permiten concienciar a los ciudadanos sobre los riesgos en Internet.

8

EL DERECHO FUNDAMENTAL A LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL: SITUACIÓN ACTUAL Y PERSPECTIVAS DE FUTURO

< índIcE >

Si bien asuntos como la publicidad telefónica, la videovigilancia, al-gunas resoluciones y actuaciones destacadas de la AEPD, y la cele-bración en España de la 31 Conferencia Internacional de Autorida-des de Protección de Datos y Privacidad, han ocupado gran parte de la actividad informativa de la AEPD durante el pasado año, lo cierto es que los medios de comunicación han centrado mayoritariamente su atención informativa en la incidencia de las nuevas tecnologías en la privacidad de los ciudadanos, y más concretamente en los riesgos asociados a servicios como las redes sociales. Ésta, sin duda, ha sido la principal temática abordada en numerosos y destacados re-portajes y noticias aparecidas en distintos medios de comunicación, con una importante presencia en el medio audiovisual, así como en distintos proyectos de concienciación promovidos por medios de co-municación.

La AEPD ha reconocido esta sensibilidad de los medios de comuni-cación y su labor de difusión otorgando los Premios de comunica-ción y difusión de 2009 a espacios como “12 meses 12 causas” de la cadena Telecinco, la sección semanal sobre “Protección de datos en Radio 5 todo noticias” y a un proyecto documental para informar a los menores ante las nuevas tecnologías, que han destacado en el compromiso de concienciación ciudadana en Internet.

La labor de concienciación que están desarrollando los medios es aún más destacable si se tiene en cuenta que viene a suplir, desde el pun-to de vista de la información, las carencias del sistema educativo en estos ámbitos.

Reiteramos la felicitación a los medios de comunicación por impul-sar que el objetivo de la AEPD “los ciudadanos, nuestra prioridad”, alcance nuevas cotas para la protección del “ciudadano digital”.

B. Los ciUDADAnos MÁs sensiBiLizADos con sUs DerecHos

La mayor concienciación sobre el uso de Internet se complementa con un mayor conocimiento por los ciudadanos de los derechos que les asisten y una demanda creciente a la AEPD para garantizarlos.

El barómetro del CIS antes citado ofrece algunos indicadores signi-ficativos de esta tendencia:

El porcentaje de ciudadanos preocupados por la protección de datos y el uso de la información personal continúa creciendo y alcanza al 74,1% de los encuestados.

El conocimiento de una ley que proteja contra los posibles abu-sos que puedan producirse con su información personal se man-tiene en torno al 50% de los ciudadanos.

El conocimiento de la AEPD como entidad que garantiza sus de-rechos se incrementa superando por primera vez la barrera del 50% de la población.

El porcentaje de ciudadanos que valoran de manera alta la se-guridad de sus datos se mantiene entre el 50% y el 60% en los bancos, hospitales y Administraciones Públicas.

La recepción de publicidad telefónica o a través de SMS, de una entidad a la que no se han facilitado los datos, crece levemente hasta alcanzar casi el 70% de los encuestados, mientras que la recepción de correos electrónicos no solicitados se eleva hasta el 83%.

El porcentaje de ciudadanos que no da el consentimiento para el uso de los datos al rellenar un formulario que incluye una casilla al efecto se aproxima al 50%.

La demanda de información al Servicio de Atención al Ciudadano confirma la sensibilización sobre la protección de datos personales y permite perfilar las inquietudes más habituales.

9

MEMORIA 2009

< índIcE >

El total de consultas planteadas a través de los canales telefónico, presencial y escrito se incrementó en un 33,82% aproximándose a la cifra de 100.000 consultas.

El mayor crecimiento se produce en el canal telefónico y, en menor medida en la atención por escrito, destacando que la mayor parte de estas consultas se contestaron a través del buzón electrónico de consultas [email protected]. Asimismo, los accesos a la página web alcanzaron la cifra de 3.000.000 con un incremento superior a 700.000 sobre el año anterior, lo que supone un promedio diario de 8.214,4 accesos.

Asimismo, se han incrementado en casi un millón el número de con-sultas al RGPD, aproximándose a la cifra de dos millones y medio de consultas.

El análisis de las consultas planteadas indica que la videovigilancia ha pasado a ocupar un lugar destacado en las inquietudes de los ciudadanos con preguntas como las siguientes:

¿Pueden el presidente y los miembros de la Junta de Gobierno exigir al administrador el visionado de las grabaciones?

¿Puede el inquilino de una finca instalar una cámara oculta que filme día y noche todo lo que ocurre en la entrada de la finca y en el jardín que es de uso privado de la propiedad y sus familiares o amigos?

¿Puede filmar a menores de edad en el jardín o en la piscina?

¿Qué nivel de seguridad tienen las imágenes obtenidas por cá-maras de videovigilancia?

Junto a ellas se mantienen otras preocupaciones ya constatadas por la AEPD en relación con la publicidad y los ficheros de morosidad en consultas como:

¿Cómo puedo evitar que me sigan mandando publicidad no de-seada?

¿Cómo desaparecer de las guías telefónicas o de los ficheros co-merciales?

¿Cómo informarme si estoy en la lista de morosos?

¿Es legal incluir en un fichero de morosos sin notificar la inclusión?

¿Cómo darse de baja en estos ficheros?

¿Es legal que una tercera empresa reclame una deuda en nom-bre de otra?

Las solicitudes de información sobre el acceso a la historia clínica se ha consolidado como una de las preguntas frecuentes y empiezan a tener relevancia otras que indican nuevas inquietudes relacionadas con la tecnología, tales como:

¿Cómo hacer para desaparecer de una página web?

¿Es obligatorio inscribir los ficheros de geolocalización de los trabajadores?

¿El escaneado de bluetooth que reporta información sobre telé-fonos móviles entra dentro de la LOPD?

De la encuesta de la AEPD para medir la satisfacción de los ciu-dadanos sobre este servicio en los canales presencial y telefónico, destacan los siguientes aspectos.

En el canal presencial:

Los ciudadanos que han declarado tener conocimientos de la información que suministra la Agencia, antes de realizar la con-sulta se han incrementado llegando al 57,3%.

El porcentaje que ha declarado que la información recibida fue satisfactorio o muy satisfactoria, creció hasta el 58,6%.

Los encuestados que se declararon satisfechos o muy satisfe-chos sobre el tiempo de espera en ser atendidos y sobre la aten-ción y servicio general se mantiene por encima del 91%.

En el canal telefónico, que es el más utilizado, se superan los altos índices de calidad de 2008, oscilando entre el 99,88% y el 100% las personas satisfechas con la información recibida, los conocimientos de quien les atendió y la corrección en el trato por el operador.

10


< índIcE >

c. nUevAs inqUietUDes: ¿cóMo DesApArezco De UnA pÁginA weB? ¿tengo qUe resignArMe A estAr expUesto en internet? ¿cóMo ejerzo Mi DerecHo AL oLviDo?

El mayor conocimiento de la normativa de protección de datos se ha traducido en una conducta más activa en el uso de los instrumentos de autoprotección contemplados en ella, como son el ejercicio direc-to de sus derechos ante quienes tratan su información personal.

El ejercicio de derechos se ha incrementado cuantitativamente y, también, cualitativamente poniendo de manifiesto las nuevas inquie-tudes de los ciudadanos. El fuerte incremento de las reclamaciones ante la Agencia en solicitudes de tutelas de derecho se consolida e incrementa cerca de un 14% aproximándose a las 2.000 solicitudes.

Más significativo aún que este dato cuantitativo es el objeto de las reclamaciones planteadas que indican sus nuevas inquietudes. Las solicitudes de cancelación de los datos o de oposición al tratamiento de los mismos por los buscadores de Internet, aún no siendo muy numerosas en valores absolutos, se han incrementado en un 200%. Lo que revela que cada vez es mayor el interés mostrado por los ciu-dadanos para que no aparezcan sus datos personales en los índices que ofrecen los servicios de búsqueda en Internet a partir de los datos identificativos de una persona.

Los ciudadanos se preguntan ¿tengo que soportar estar expuesto en Internet? La respuesta es NO. De los casos planteados ante la AEPD, relacionados con la publicación de sus datos en ediciones di-gitales de diarios oficiales o medios de comunicación, destacan los siguientes:

Publicación de sanciones administrativas ya cumplidas.

Publicación por edictos de deudas vencidas.

Sanciones disciplinarias a funcionarios de prisiones que afectan a su seguridad.

Publicación de datos de una mujer y sus hijos menores, victimas de violencia doméstica que facilitan su localización para el cón-yuge.

Publicación en una página web que replica la edición electróni-ca de boletines oficiales de ayudas de exclusión social y desem-pleo.

Publicación de indultos.

En esta materia, las resoluciones dictadas por la AEPD van en la línea de exigir que se adopten las medidas necesarias para evitar la indexación de los datos de carácter personal. También ha habido que tener en cuenta las posibles acciones que los webmasters pudiesen adoptar encaminadas a hacer efectivo el derecho solicitado por el particular. Esta nueva inquietud se confirma por el incremento de preguntas formuladas al Servicio de Atención al Ciudadanos sobre cómo hacer para desaparecer de una página web.

En 2009 destaca también el aumento de las reclamaciones relacio-nadas con la inclusión de los datos por motivos de morosidad en ficheros de información sobre solvencia patrimonial y crédito.

Al margen de estas cuestiones las principales preocupaciones de los ciudadanos siguen siendo: ¿Quién tiene mis datos?, ¿Cómo los cancelo?

Así resulta del importante incremento de las resoluciones relacio-nadas con la tutela de los derechos de acceso (Δ 59%) y de cancela-ción (Δ 40,8%) sumando sólo estas últimas un total de 1.366 resolu-ciones, cifra superior al total de las dictadas en el año anterior.

Conclusión que se confirma con las consultas al Servicio de Aten-ción al Ciudadano sobre el ejercicio de derechos, en las que las re-lacionadas con los derechos de acceso y cancelación son el 20,62% y el 61,36%, respectivamente.

Es también novedoso el fuerte crecimiento de las resoluciones so-bre el derecho de oposición (Δ 470%) que, en años anteriores, ocu-paban el último lugar superando a las relacionadas con el derecho de rectificación.

En el caso de los derechos de acceso y oposición, la mayor parte de las resoluciones fueron estimatorias de los derechos de los ciuda-danos, sucediendo lo contrario respecto de los derechos de cance-lación y rectificación.

11

MEMORIA 2009

< índIcE >

Para entender el elevado número de desestimaciones del derecho de cancelación, hay que tener en cuenta que, en muchos de los ca-sos, se refieren a la cancelación de datos en los ficheros de solvencia patrimonial y de crédito en los que, al quedar confirmada la deuda por el acreedor, los responsables de dichos ficheros han actuado conforme a la normativa de protección de datos.

Asimismo, cuando se ha pedido la cancelación de datos a determi-nados organismos administrativos que se rigen por sus procedi-mientos específicos, se desestiman las solicitudes.

Las principales solicitudes de cancelación son las siguientes:

Cancelación de anotaciones en informes técnicos realizados por profesionales en el ejercicio de sus funciones.

Supresión de los datos una vez concluida la prestación de los servicios contratados; especialmente con operadores de teleco-municaciones.

Supresión de antecedentes policiales, penales y penitenciarios de las administraciones públicas competentes.

Cancelación de datos en foros de Internet.

Datos en historiales clínicos.

Supresión de datos o documentos que figuren en papel dentro de expedientes.

Respecto del derecho de acceso las cuestiones más relevantes son:

Valoración de solvencia económica realizada por entidades fi-nancieras.

Historial clínico de familiar fallecido.

Historia clínica que se considera se ha suministrado de manera incompleta.

Sobre el derecho de rectificación destacan:

Rectificar las bases de cotización contenida en ficheros de la Se-guridad Social.

Datos bancarios disponibles por otra empresa.

Y, en cuanto al derecho de oposición cabe reseñar los siguientes:

Reflejar en los acuses de recibo el DNI del personal del Servicio de Correos y Telégrafos que realiza la entrega del correo.

Recepción de publicidad de una empresa con la que se tiene con-trato.

12


< índIcE >

A. FAciLitAr eL cUMpLiMiento De LA Ley: UnA gArAntíA pArA Los ciUDADAnos

El año 2008 supuso un punto de inflexión en política informativa de la Agencia dirigida a facilitar el cumplimiento de la normativa de protección de datos.

En 2009 la Agencia ha intensificado esta política informativa en la convicción de que facilitar el cumplimiento de la ley se traduce en un incremento de las garantías de los ciudadanos.

En el mes de enero se celebró la II Sesión Anual Abierta de la LOPD, con asistencia de alrededor de 700 participantes representativos de grandes corporaciones, consultores, Pymes, agentes sociales y Administraciones Públicas. En ella se informó y debatió sobre las principales novedades en la aplicación práctica del RLPOD y se dio respuesta a las inquietudes formuladas previamente por los parti-cipantes.

Asimismo, se ha ampliado el catálogo de guías prácticas para la di-fusión de la LOPD mediante la edición de las siguientes publicacio-nes:

Guía de recomendaciones a usuarios de Internet.

Guía de videovigilancia.

Guía para la protección de datos en las relaciones laborales.

Además, se han editado las ediciones en inglés de la Guía de video-vigilancia y de la Guía de Derechos de niños y niñas y deberes de los padres y madres.

El Servicio de Atención al Ciudadano continúa siendo un cauce de gran utilidad en la política informativa de la Agencia, como se des-prende de los importantes crecimientos de las consultas atendidas año tras año.

Es, asimismo, un indicador de los temas prioritarios para los ciuda-danos y los responsables del tratamiento de datos personales. Las preguntas más frecuentes que se han planteado se refirieron a las siguientes cuestiones:

Obligaciones de una empresa que tiene ficheros con datos per-sonales.

¿Cómo se debe inscribir un fichero?

Formularios de inscripción y cómo obtenerlos.

Si se incluyen o no los empresarios individuales y las personas de contacto de la empresa.

Tratamientos de datos de empresas que operan en Sudamérica.

Acceso a los historiales clínicos.

Amparo de derechos de personas fallecidas.

Si el cartel informativo de la videovigilancia puede colocarse en lenguas cooficiales distintas del castellano.

Aplicación de la Ley 25/2007, de conservación de datos, respec-to del alta de servicios de usuarios en general y de menores de edad en particular.

Si es obligatorio inscribir los ficheros de geolocalización de tra-bajadores.

Si el escaneado de Bluetooth que reporta información sobre te-léfonos móviles entra dentro de la LOPD.

Si es necesario inscribir un fichero sobre clientes afectados por blanqueo de capitales que son de dominio público.

13

MEMORIA 2009

2. gArAntizAr eL eFectivo y eFicAz cUMpLiMiento De LA LopD

< índIcE >

En lo que se refiere a consultas de mayor complejidad, en 2009 se atendieron por el Gabinete Jurídico 679 consultas (cifra práctica-mente idéntica a la de 2008, de las cuales 359 (54%) fueron plan-teadas por las Administraciones Públicas y 313 (46%) por el sector privado.

Se mantiene así el incremento producido respecto de volumen de consultas de 2008, cuyas causas probablemente se encuentren rela-cionados con la entrada en vigor del Reglamento de la Ley Orgánica 15/1999, al que se dedican buena parte de las cuestiones. En cuanto al reparto de las consultas de los sectores público y privado, y frente a la modificación producida en 2008, en que aumentaron considera-blemente las consultas referidas al sector privado, se ha retomado la pauta habitual de similitud en el número de las mismas, si bien en este ejercicio se observa un notable incremento del peso del sector público (del 40% en 2008 al 54% en 2009).

En cuanto a las materias objeto de consulta, debe hacerse referen-cia a las siguientes:

Cesiones de datos.

Protección de datos en el sector de las comunicaciones electró-nicas.

Concurrencia de causas legitimadoras del tratamiento, con es-pecial referencia a los requisitos exigibles para la adecuada ob-tención del consentimiento.

Especialidades referidas al tratamiento y cesión de datos en fi-cheros de titularidad pública y la delimitación de dichos ficheros frente a los de titularidad privada.

Aplicación del Reglamento de desarrollo de la LOPD, en particu-lar en relación con las medidas de seguridad.

Videovigilancia.

Delimitación del ámbito de aplicación objetivo y territorial de las normas de protección de datos.

Régimen del encargado del tratamiento.

En particular, de esta distribución sectorial se desprenden las si-guientes conclusiones:

El especial incremento (142%) de las consultas relacionadas con la delimitación de los conceptos de ficheros de titularidad públi-ca y privada y los requisitos exigibles a estos últimos.

Igualmente es importante el incremento de las cuestiones rela-cionadas con el sector de las comunicaciones electrónicas y la aplicación al mismo de la LOPD y su normativa sectorial (91%).

La relevancia mayor en este ejercicio de las consultas relaciona-das con el cumplimiento de los principios de calidad de datos y, en particular, de los informes que se centran en el análisis del cumplimiento del principio de proporcionalidad.

El mantenimiento de un número relevante, que incluso se incre-menta ligeramente, de las consultas relacionadas con la videovi-gilancia.

La disminución cuantitativa de cuestiones que resultaron espe-cialmente reiteradas en el año 2008, pese a mantener un impor-tante volumen en términos comparativos con las restantes. Así sucede en relación con las consultas relativas al ámbito de apli-cación de la legislación de protección de datos, el cumplimiento del deber de información, el tratamiento de datos especialmente protegidos o la normativa de seguridad contenida en el Regla-mento de desarrollo de la LOPD.

Atendiendo a la distribución sectorial de las consultas del sector pri-vado, debe hacerse referencia a los siguientes sectores principales:

Telecomunicaciones y sociedad de la información.

Particulares.

Asesoría y consultoría.

Asociaciones empresariales y profesionales.

Sanidad y farmacéuticos. Distribución y venta.

14


< índIcE >

Servicios informáticos.

Educación y enseñanza.

Banca y seguros.

De dicha distribución deben extraerse las siguientes conclusiones relevantes:

El descenso en más de un 65% de las consultas procedentes de en-tidades dedicadas a la asesoría y consultoría, dado que transcurrido más de un año desde la entrada en vigor del Reglamento. La Agen-cia ha vuelto a mantener el criterio general de atender únicamente las consultas relacionadas con sus ficheros y tratamiento y no con las de sus clientes, que deberán formularse por éstos últimos.

La relevancia adquirida en este ejercicio por las consultas proce-dentes de particulares y de empresas vinculadas con el ámbito sanitario y el sector de las telecomunicaciones.

El mantenimiento de la importancia de las consultas proceden-tes de asociaciones empresariales y profesionales y del sector del transporte.

La disminución del volumen de consultas procedentes del ban-cario y del de la publicidad y prospección comercial.

En cuanto a las cuestiones concretas que han sido analizadas y sus conclusiones, se han reiterado las que figuran en la Memoria de 2008 a las que se añaden como novedad las siguientes:

Interpretación del alcance que habrá de darse a las exclusiones a la normativa de protección de datos contenidas en los apar-tados 2 y 3 del artículo 2 del Reglamento (datos de contacto y empresarios individuales).

Los informes preceptivos emitidos a instancia de la Comisión del Mercado de las Telecomunicaciones en los procedimientos de autorización de acceso a los directorios de abonados para la prestación de servicios de guías consulta telefónica o servicios de emergencia.

La emisión de informes jurídicos a requerimiento del Defensor del Pueblo en relación con materias tales como el tratamiento

por los Colegios de Procuradores de datos relacionados con los asuntos en que ha participado un colegiado; la naturaleza de las empresas de recobro a los efectos de la aplicación de las normas de protección de datos; determinadas cuestiones relacionadas con los ficheros de solvencia patrimonial y crédito o los derechos de los abonados en relación con los directorios de comunicacio-nes electrónicas.

Los relativos a la implantación y desarrollo del Sistema de In-formación del Sistema Nacional de Salud y de la Historia Clínica Única en todo el Sistema Público de Salud.

Las relativas a los tratamientos llevados a cabo por los servicios de prevención en el marco de la Ley de Prevención de Riesgos Laborales, el acceso a datos de salud por el empresario y el tra-tamiento y comunicación de datos por las mutuas de accidentes de trabajo.

La resolución de cuestiones concretas relacionadas con los fi-cheros mantenidos por los sujetos obligados en el marco de las exigencias contenidas en la legislación de blanqueo de capitales y de la financiación del terrorismo.

Las relacionadas con la posible publicidad a través de Internet de diversos registros administrativos, tales como los gestiona-dos por la Dirección General de Seguros y Fondos de Pensiones.

La licitud de la comunicación por las líneas aéreas a las autori-dades del Reino Unido de determinados datos de los pasajeros con carácter previo a la salida del vuelo con base en la legisla-ción de inmigración del Reino Unido.

La resolución de determinadas cuestiones relacionadas con la le-galidad de la asunción por la empresa absorbente de las obliga-ciones de la entidad absorbida en procesos de fusión y la posibili-dad de que los datos sean migrados durante el proceso de fusión.

Las especialidades del tratamiento de datos relacionados con los menores, atendiendo a determinados entornos concretos (por ejemplo, redes sociales) y la exigibilidad de medidas de compro-bación de la edad del menor.

La garantía del cumplimiento del deber de informar en casos especiales como la contratación telefónica.

15

MEMORIA 2009

< índIcE >

La delimitación del ámbito de aplicación territorial de la Ley Or-gánica de Protección de Datos en el supuesto de sucursales de empresas extracomunitarias o de encargados del tratamiento ubicados en territorio español.

La comunicación de los datos contenidos en los documentos TC2 del subcontratista al contratista principal durante el período de ejecución de la subcontrata.

La improcedencia de que se comuniquen a las centrales sindi-cales los datos referidos a la productividad o gratificaciones ex-traordinarias del personal funcionario.

La viabilidad del acceso por empresas municipales a los datos del padrón municipal para la gestión de servicios públicos y, en particular, la delimitación de los supuestos en que las mismas son responsable o encargadas del tratamiento.

Los requisitos legalmente exigibles para la creación de los deno-minados “ficheros de exclusión” publicitaria o “listas Robinson” y, en particular del creado a tal efecto por la Federación Españo-la de Comercio Electrónico y Marketing Directo.

Los requisitos legalmente exigibles para la puesta en funciona-miento por parte de diversas asociaciones de ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias y, en particular, la posibilidad de creación de los denominados “fi-cheros positivos”, que contengan toda la información crediticia del afectado y no sólo la relativa a los incumplimientos de sus obligaciones, exigiendo la Ley española el consentimiento del afectado.

El Reglamento de desarrollo de la LOPD estableció un nuevo marco sobre la autorregulación promoviendo que los Códigos Tipo aporten valor añadido a la protección de datos personales y garanticen su aplicación efectiva.

Al término del plazo establecido para la adaptación de los Códigos Tipo inscritos en el RGPD al nuevo Reglamento, tres han sido can-celados por no responder a las nuevas exigencias y los restantes se han modificado para cumplirlas. No obstante, en el caso de los Códigos de odontólogos y estomatólogos de España y del sector de la intermediación inmobiliaria se advirtió expresamente que sus

promotores deberán informar anualmente sobre el número de ad-heridos para evaluar la representatividad del sector.

Como principal novedad se ha inscrito el Código Tipo correspon-diente al “Sistema de Autorregulación en materia de protección de datos: Investigación Clínica y Farmacovigilancia”, promovido por FARMAINDUSTRIA.

El Código adapta las previsiones de la LOPD a actividades complejas como son los ensayos clínicos con medicamentos y la farmacovigi-lancia delimitando los ficheros correspondientes a tales actividades, aclarando la posición jurídica del amplio abanico de sujetos intervi-nientes y estableciendo procedimientos específicos para la disocia-ción de los datos personales.

De este modo el Código constituye un referente básico para facilitar el cumplimiento de la normativa de protección de datos.

También se ha inscrito el Código Tipo para las entidades locales adheridas a la Asociación de Municipios Vascos. El código, trami-tado por la Agencia Vasca de Protección de Datos, presenta como novedad el ser una primicia en la autorregulación por parte de las Administraciones Públicas.

Las políticas de divulgación y comunicación pública impulsadas por la Agencia continúan dando frutos.

En 2009 se han inscrito en el Registro General de Protección de Da-tos casi 400.000 nuevos ficheros, lo que supone un incremento supe-rior al 50% respecto a 2008, alcanzando una cifra total de 1.647.756.

A este incremento ha contribuido el sistema simplificado de notifi-cación de ficheros NOTA. Entre las facilidades que ofrece el sistema NOTA para la inscripción de ficheros destaca la notificación a través de Internet que se utiliza en cerca del 90% de los casos frente al 10% de las notificaciones manuales.

Además, se ha duplicado la presentación de notificaciones firmadas con certificado electrónico de firma que han llegado a las 100.000, lo que supone que una de cada cinco utiliza este formato.

A lo que se añade que otra de las opciones del sistema NOTA, como es la notificación mediante aplicativos desarrollados por terceros,

16


< índIcE >

normalmente para realizar inscripciones masivas, han llegado a ser otro 20% del total de notificaciones. En definitiva, la oferta de nuevas tecnologías y la flexibilidad de las opciones para los responsables son el instrumento más eficaz para cumplir la Ley.

El incremento de las inscripciones es más fuerte en el ámbito pri-vado que ha crecido en un 63%, principalmente en el entorno de las pequeñas y medianas empresas en los sectores de comercio, sani-dad, contabilidad, auditoria y asesoría fiscal, construcción, turismo y hostelería.

En el sector público destaca un incremento cercano al 50% en los ficheros de la Administración Local con lo que los ficheros de Ayun-tamientos inscritos en el RGPD, representan casi el 96% de la po-blación española.

Atendiendo a la sensibilidad de los datos incorporados a los ficheros son reseñables los incrementos tanto de los que declaran datos de ideología, creencias, religión y, sobre todo, afiliación sindical, como de los que declaran datos de salud, origen racial y vida sexual. Al finalizar 2009 los primeros ascienden a más de 53.000 en el ámbi-to privado y a más de 17.000 en el público. Los segundos alcanzan cifras en torno a 238.000 y 26.000 en uno y otro ámbito, respectiva-mente.

En cuanto a las finalidades de los ficheros privados es significativo el crecimiento, superior al 30%, de los que tienen por objeto el análisis de perfiles de las personas, habitualmente relacionados con el sec-tor de la publicidad. Lo que es un indicador del desarrollo de fórmu-las publicitarias cada vez más intrusivas en la privacidad.

La oferta de nuevas herramientas para facilitar el cumplimiento de la Ley ha dado un salto cualitativo con el programa EVALUA presen-tado en el marco de la 31ª Conferencia Internacional de Protección de Datos y de la Privacidad.

EVALUA es una herramienta gratuita on-line para autoevaluar el cumplimiento de la LOPD para las empresas y las Administraciones Públicas.

Para ello ofrece respuestas a las dudas a las que se enfrentan ha-bitualmente quienes tratan datos personales mediante un autotest basado en preguntas con respuesta múltiple.

El programa contempla dos niveles de autoevaluación con dos per-files distintos de usuario. El primero es un test básico para quienes toman un primer contacto con la LOPD que les permite conocer el nivel de cumplimiento de la normativa. El segundo, para usuarios con un mayor nivel de conocimiento, permite verificar fácilmente el cumplimiento de las medidas de seguridad.

EVALUA utiliza un lenguaje claro y ofrece documentación de apoyo y ayuda para facilitar la comprensión de las preguntas. Su uso ga-rantiza el anonimato del usuario, es gratuito y una vez terminado genera un informe con recomendaciones personalizadas.

B. Un AFÁn perMAnente por LA segUriDAD jUríDicA

Garantizar la sistemática de ordenamiento jurídico con la normativa de protección de datos supone avanzar en la consecución de mayo-res niveles de seguridad jurídica.

La AEPD ha continuado trabajando en el objetivo de lograr mayor seguridad jurídica a través de los informes preceptivos sobre dispo-siciones de carácter general.

De este modo fueron informadas 100 disposiciones, entre las que cabe hacer referencia a las siguientes:

Las adoptadas en desarrollo de la Ley 11/2007, de Acceso elec-trónico de los ciudadanos a los Servicios públicos (Proyecto de Real Decreto de desarrollo parcial, Proyectos de Reales Decre-tos por los que se aprueban el esquema nacional de interopera-bilidad y el esquema nacional de seguridad y Proyecto de Orden por la que se crea el registro Electrónico Común de la Adminis-tración General del Estado).

En materia económica, ha sido informado en dos ocasiones el Anteproyecto de Ley de Prevención del Blanqueo de Capitales y la financiación del terrorismo.

En el ámbito sanitario, el Proyecto de Real Decreto por el que se aprueba el conjunto mínimo de datos de los informes clínicos en el Sistema Nacional de Salud, el Proyecto de Real decreto por el que se modifica el Reglamento General de Mutualismo Adminis-

17

MEMORIA 2009

< índIcE >

trativo y el Proyecto de Real Decreto de regulación de la receta médica y la orden hospitalaria de dispensación.

El Proyecto de creación de la Historia clínica electrónica única en el ámbito de MUFACE, a través del informe emitido al Proyecto de Orden de creación del correspondiente fichero.

El Anteproyecto de Ley Orgánica de salud sexual y reproductiva y de la interrupción voluntaria del embarazo.

El Anteproyecto de Ley sobre simplificación del intercambio de información e inteligencia entre los servicios de seguridad de los Estados miembros de la Unión Europea.

El Proyecto de Real Decreto por el que se aprueba el Reglamento de los Archivos Judiciales Militares.

Los Acuerdos entre la Unión Europea y Australia y entre la Unión Europea y Estados Unidos sobre el tratamiento y transferencia de datos generados en la Unión Europea del Registro de nom-bres de pasajeros (PNR).

Por último, fueron informadas diversas disposiciones de creación de ficheros de los Ministerios de Economía y Hacienda, Industria, Turismo y Comercio, Fomento, Trabajo e Inmigración, Defensa, Medio Ambiente, Medio rural y Marino, Justicia, Sanidad y Polí-tica Social, Asuntos Exteriores y Cooperación, Interior, Cultura y Ciencia e Innovación, así como de los del Tribunal de Cuentas y de la Casa de S.M. el Rey.

Por otra parte, el análisis del grado de seguridad jurídica en la apli-cación de la LOPD obliga a contemplar en qué medida las Resolucio-nes de la AEPD son ratificadas o revocadas por los Tribunales.

Antes de proceder al análisis concreto de la doctrina judicial ema-nada del Tribunal Supremo y de la Audiencia Nacional, es preciso poner de manifiesto el singular efecto que sobre las cifras relativas al total de sentencias dictadas por ambos órganos, y en particular por el Tribunal Supremo, ocasionan los recursos relacionados con el ejercicio del derecho de cancelación de los datos existentes en los Libros de Bautismo de la Iglesia Católica.

En total, en relación con esta materia durante el año 2009 se han dictado 99 sentencias en primera instancia por la Audiencia Nacio-

nal (un 29% del total) y el Tribunal Supremo ha resuelto 163 recursos de casación (más del 90% del total) en el sentido sostenido en su sentencia de 19 de septiembre de 2008, de cuyo contenido y conse-cuencias se dio sobrada cuenta en la Memoria correspondiente a dicho ejercicio.

Teniendo en cuenta esta circunstancia, el análisis que se realizará a continuación no tendrá en cuenta el volumen de sentencias relacio-nadas con la cancelación de los datos de los libros de bautismos, a fin de poder ofrecer una información significativa.

Así durante el año 2009 se han dictado, respectivamente, por la Sala de lo contencioso-administrativo de la Audiencia Nacional y por la del Tribunal Supremo 240 y 8 Sentencias.

En cuanto a las Sentencias de la Audiencia Nacional:

162 fueron desestimatorias de los recursos formulados contra resoluciones de la Agencia (que quedaron plenamente confirma-das) (68%).

17 estimaron parcialmente los recursos (7%).

61 estimaron íntegramente las pretensiones anulatorias de las resoluciones de la Agencia (25%).

En relación con los sectores de actividad a los que afectan las sen-tencias dictadas se mantiene en parte la tendencia sostenida en ejercicios anteriores. No obstante, son más que significativos los incrementos producidos en los sectores financiero, banca y seguros (un 138%), en el sector de agua y energía (un 178%) y de distribución (un 100%).

También se han incrementado muy significativamente los recursos interpuestos por particulares contra resoluciones de archivo dicta-das por la Agencia, que ya constituyen casi un 10% de los recursos resueltos, siendo también significativo el incremento de un 70% en las sentencias en que los recurrentes son sindicatos y asociaciones.

Al propio tiempo, se mantiene la relevancia de las sentencias rela-cionadas con las Administraciones Públicas y disminuyen aquéllas en que los recurrentes son entidades gestoras de ficheros de sol-vencia patrimonial y crédito.

18


< índIcE >

En cuanto a las materias, siguen siendo especialmente significativas las referidas a la inclusión de datos inexactos en ficheros de solvencia patrimonial y crédito o con la contratación de servicios, en las que, junto con las pertenecientes al sector de las comunicaciones electró-nicas, adquieren relevancia las empresas del sector energético.

También es preciso indicar que en un buen número de sentencias estimatorias, la decisión final del recurso se ha fundado en la am-pliación de la prueba practicada por el Tribunal respecto a la reali-zada por la Agencia. En este sentido, conviene precisar que la mayor parte de los criterios estimatorios de la Audiencia Nacional se han fundado en una distinta interpretación de la prueba obrante en autos y no en discrepancias con las resoluciones recurridas en lo que a la aplicación de las normas sustantivas de protección de datos se refiere.

De las sentencias de la Audiencia Nacional cabe desatacar las si-guientes:

La SAN de 9 de enero de 2009 se refiere a un supuesto de aplica-ción de la LSSI, considerando que a los efectos de la aplicación de dicha Ley resulta enteramente irrelevante que las direcciones de correo electrónico a las que se realizaron las comunicaciones co-

merciales se encontrasen en fuentes accesibles al público, dado el carácter restrictivo del artículo 21 de dicha Ley. Al propio tiempo, considera que no puede considerarse masivo el envío de 45 co-rreos electrónicos a distintos destinatarios en el plazo de un mes.

Las SSAN de 14 de enero y 12 de noviembre se refieren a un supuesto de posible contratación fraudulenta por un menor en el ámbito de las telecomunicaciones, considerando las senten-cias que, aún no constando el consentimiento del menor, cabe apreciar la existencia de dicho contrato en virtud de determina-dos indicios, tales como el abono del servicio y la realización de llamadas por y al menor por parte de sus familiares a la línea contratada.

La SAN de 28 de enero de 2009 considera que no es materia pro-pia de protección de datos la rectificación solicitada por un inte-resado de la información contenida en un expediente tramitado ante un Tribunal Económico-Administrativo regional.

Las SSAN de 4 de febrero y 1 de octubre de 2008 consideran, siguiendo el criterio mantenido en otras sentencias citadas en la Memoria de 2008, que cuando un listbroker actúa en nombre propio ha de ser considerado responsable del fichero.

19

MEMORIA 2009

< índIcE >

Las SSAN de 13 de marzo, 22 de abril y 5 de mayo de 2009 re-suelven los recursos tramitados en relación con el tratamiento de datos de personas públicamente relevantes llevado a cabo por un medio de comunicación social, desestimando las pretensio-nes de dichas personas.

La SAN de 17 de marzo de 2009 resulta relevante por ser la úni-ca dictada hasta la fecha referida a un recurso interpuesto con-tra una autorización de transferencia internacional de datos. La sentencia desestima la pretensión de una organización sindical contra dicha autorización.

Las SSAN de 25 de marzo, 4 de abril y 13 de julio de 2009 se re-fieren al supuesto en que una determinada entidad obtuvo, con la colaboración de otras dedicadas a la seguridad privada, datos relativos a la identificación, domicilio y otras informaciones re-lacionadas con los denunciantes que posteriormente fueron fa-cilitadas a empresas de recobro. En estos supuestos, la entidad recurrente (la misma en los tres casos) alegaba que se había informado a los interesados acerca de este tratamiento sin que por aquéllos se hubiera hecho manifestación alguna en contra-rio, pero no se acreditaba en ninguno de ellos la recepción por el interesado de la citada información, por lo que la entidad fue sancionada por tratamiento ilícito de los datos y por su cesión a la empresa de recobro.

La SAN de 16 de abril de 2009 considera que la sanción impuesta por la AEPD a un determinado partido político por el uso ilícito de los datos de personas no afiliadas al mismo para su inclusión en listas electorales no puede ser objeto de sanción por poder sub-sumirse en el correspondiente tipo penal aplicable a la misma conducta.

La SAN de 22 de abril de 2009 considera que la grabación de la imagen de una determinada persona en un fichero de vídeo contenido en un CD aportado a un procedimiento judicial no está protegida por la LOPD, dado que dichos datos no estaban desti-nados a incorporarse a un fichero ni constituyen en sí mismos un fichero.

La SAN de 29 de abril de 2009 consideró que no cabía apreciar la existencia de un tratamiento fraudulento de datos de carácter personal en un supuesto en que, habiéndose interpuesto que-rella criminal por el afectado por falsificación de su firma, las diligencias penales habían sido sobreseídas. Al propio tiempo, la sentencia señala que existen indicios contrarios a considerar tal carácter fraudulento como consecuencia de otras conductas desarrolladas por el interesado. En términos parcialmente simi-lares pueden tenerse en cuenta las SSAN de 11 y 26 de junio y 29 de octubre de 2009.

La SAN de 6 de mayo de 2009 se refiere igualmente a un supues-to de fraude en la contratación en el que si bien la Sala recono-ce su existencia considera que no procede la imposición de la sanción a quien resultaba ser la prestadora del servicio sino al distribuidor que simuló el contrato y contra el que no se dirigió el procedimiento.

La SAN de 24 de mayo de 2009 considera lícito el tratamiento llevado a cabo por una empresa de recobro que actualizó los datos referidos al domicilio y número de teléfono de un cliente de la entidad que había suscrito con la misma un contrato de encargado del tratamiento, al considerar que el tratamiento de tales datos y su actualización no requieren el consentimiento del afectado al encontrarse amparados en la relación contractual existente entre el afectado y la entidad acreedora.

La SAN de 11 de junio de 2009 está referida a la posible vulne-ración del deber de secreto como consecuencia de la inclusión de datos en un foro de Internet. La sentencia considera que la infracción debe entenderse cometida en el momento en que la información es incluida en el foro, dado que quien la incluyó, al no ser administrador del mismo, no podía suprimirla con poste-rioridad.

La SAN de 11 de junio de 2009 considera vulnerado el deber de secreto por una entidad local, por cuanto habiéndose solicitado de la misma por el interesado la emisión de una certificación relativa a los servicios prestados en el mismo para su aportación en un proceso selectivo de otra administración, se facilitó por la entidad local dicha información a esa segunda administración.

20


< índIcE >

La SAN de 18 de junio de 2009 confirma los criterios que en ma-teria de videovigilancia fijó la AEPD en la Instrucción 1/2006 y aclara que la grabación a través de videocámaras de la vía pú-blica por parte de una determinada empresa resulta contraria al principio de proporcionalidad previsto en el artículo 4.1 de la LOPD.

La SAN de 18 de junio de 2009 se refiere a un supuesto en que fueron encontrados documentos con datos personales en la vía pública y considera que no se produjo vulneración del deber de secreto, dado que la información no fue conocida por terceros, pero que procede la imposición de la sanción por vulneración del deber de seguridad por cuanto sí se había producido un incum-plimiento de las medidas exigibles.

La SAN de 9 de julio considera que la emisión de una carta de despido por un empresario en la que se incluyen datos de salud del afectado no está sometida a la LOPD, dado que no consta que la misma forme parte de ningún fichero de la empresa, conforme a la doctrina emanada de la STS de 19 de septiembre de 2008.

La SAN de 9 de julio de 2009 considera desproporcionada la pu-blicación en un medio de comunicación de imágenes referidas a una víctima de un atentado terrorista con lesiones cerebrales irreversibles, al entender que el carácter noticiable de la in-formación se cumplía suficientemente sin la inclusión de tales imágenes, por lo que no cabe dar prevalencia a la libertad de información consagrada por el artículo 20 de la Constitución.

La SAN de 24 de septiembre de 2009 considera que no proce-de imputar a una Administración Local la vulneración del deber de secreto ocasionada como consecuencia de la divulgación de ciertas informaciones llevada a cabo por parte de un miembro de la misma, a la que accedió en virtud de su cargo.

La SAN de 9 de octubre de 2009 considera que los ficheros de los que es responsable el Ministerio Fiscal se encuentran sometidos a la LOPD y a las competencias supervisoras de la AEPD, consi-derando en el supuesto planteado que no procede la cancelación de determinados datos de un menor mantenidos en un fichero de la Fiscalía de Menores, al existir legitimación suficiente para su conservación.

La SAN de 22 de octubre de 2009 considera que no puede apre-ciarse la existencia de una vulneración del deber de secreto y de la obligación de implantar las adecuadas medidas de seguridad cuando existe una conducta activa de los propios denunciantes tendente a violentar las medidas implantadas por el responsable del fichero.

La SAN de 29 de octubre de 2009 considera que existe falta de culpabilidad en la infracción cometida por una federación depor-tiva, consistente en la publicación en un sitio web de las san-ciones adoptadas en materia de dopaje, considerando que existe en la misma confianza legítima al haber seguido las directrices establecidas por el Consejo Superior de Deportes.

La SAN de 19 de noviembre de 2009 considera, conforme al cri-terio mantenido por la Agencia, que el acceso por el personal de Juzgados y Tribunales a la base de datos de determinados funcionarios de la AEAT en virtud del Acuerdo de colaboración entre el CGPJ y la citada Agencia está amparado por la relación estatutaria de los funcionarios con la Administración, siendo ne-cesarios para el ejercicio de funciones propias de las Adminis-traciones Públicas y en el ámbito de sus competencias.

La SAN de 26 de noviembre de 2009 confirma las sanciones im-puestas por la Agencia en un supuesto en que una entidad reco-gió datos de un menor de edad sin contar con el consentimiento de sus padres o tutores, utilizándolos posteriormente para la realización de una campaña mediante la que se ofreció al mismo una tarjeta de crédito.

La SAN de 19 de diciembre de 2009 considera que debe apreciar-se la existencia de un concurso medial entre las infracciones de los artículos 4.3 y 6.1 de la LOPD, dado que si los datos han sido tratados sin consentimiento del interesado no cabe entender que es sancionable el que los mismos sean inexactos.

Por otra parte, son numerosas las sentencias en que, frente a la alegación de la recurrente acerca de la existencia de un uso fraudulento o abusivo por parte de la AEPD del trámite de dili-gencias previas, la Audiencia Nacional ha puesto de manifiesto la improcedencia de dicha alegación atendiendo al incremento de la carga de trabajo producida en la Agencia, siguiendo el criterio ya establecido en la SAN de 19 de noviembre de 2008.

21

MEMORIA 2009

< índIcE >

Por su parte, el Tribunal Supremo, y también sin hacer referencia a las sentencias referidas a los Libros de Bautismo de la Iglesia Cató-lica, dictó las siguientes resoluciones:

Declaró en trece sentencias no haber lugar a los recursos inter-puestos contra sentencias que confirmaban las resoluciones de la Agencia, que quedaron así confirmadas.

Declaró en dos supuestos haber lugar al recurso interpuesto por la representación procesal de la Agencia contra sentencias que estimaban recursos interpuestos contra sus resoluciones. En uno de los casos, la sentencia de instancia estimaba el recurso contra una resolución en que se imponían dos sanciones (una grave y otra muy grave), siendo sólo la segunda de ellas suscep-tible de recurso.

Declaró en un supuesto haber lugar al recurso interpuesto por un responsable contra la sentencia de la Audiencia Nacional que estimaba, a su vez, el recurso interpuesto por los afectados contra una resolución de archivo de actuaciones dictada por la Agencia, que fue confirmada así por el Tribunal Supremo.

Declaró en tres supuestos no haber lugar al recurso interpuesto por la representación procesal de la Agencia (que en este caso coincidía con la de la responsable del fichero, al ser ésta la Agen-cia Estatal de la Administración Tributaria, defendidas ambas por el Abogado del Estado) contra una sentencia que estimaba el recurso interpuesto contra la resolución de esta Agencia.

En consecuencia, y al margen de las cuestiones ya señaladas, el Alto Tribunal vino a ratificar los criterios de la Agencia en 16 de las 19 ocasiones en que la cuestión fue sometida a su parecer.

Dicho lo anterior, debe hacerse referencia a las siguientes sentencias:

Las SSTS de 14 de enero y 17 de julio de 2009, declara no ha lu-gar el recurso de casación para la unificación de doctrina, dado que no concurren las circunstancias exigidas por la ley de la ju-risdicción como necesarias para poder apreciar la contradicción entre sentencias de identidad sustancial.

La STS de 27 de enero de 2009 declara no haber lugar al recurso de casación referente a la cesión de datos entre dos empresas de un mismo grupo empresarial, sin el consentimiento inequívoco de los clientes. En el mismo sentido se pronuncia la STS de 28 de abril de 2009.

La STS de 24 de febrero de 2009, declara no haber lugar el recur-so de casación, refiriéndose a la adecuada inclusión de determi-nados datos en ficheros de solvencia patrimonial y crédito, con-firmándose la SAN, que a su vez consideraba ajustada a derecho la resolución de la Agencia.

La STS de 28 de abril de 2009 considera que se encuentra some-tido a la LOPD el tratamiento de datos efectuado por una empre-sa para la realización de una campaña dirigida por una empresa ubicada en España a ciudadanos españoles aún cuando los datos se recogían en un servidor ubicado en Estados Unidos.

La STS de 12 de mayo de 2009 declara haber lugar al recurso de casación interpuesto por el Abogado del Estado. Confirma la existencia de una cesión en un supuesto de tratamiento de datos que una entidad efectúa con respecto a otra, con la posterior re-misión de un fichero enriquecido con los datos tratados.

La STS de 3 de junio de 2009, declara no haber lugar al recurso de casación considerando que existe una vulneración de la LOPD como consecuencia de la cesión de datos de unos clientes sin su consentimiento a otra entidad, siendo irrelevante que exista entre ambas entidades un contrato, en el que los clientes nada tienen que ver.

La STS de 7 de julio de 2009, declara no haber lugar al recurso de casación interpuesto por el Abogado del Estado. Reconocien-do que la cesión de los datos, aunque lo ampara una ley, debe venir condicionada al cumplimiento de fines legalmente previs-tos, pudiendo el afectado tener conocimiento de quiénes son los destinatarios de las cesiones efectuadas mediante el ejercicio del derecho de acceso del art. 15 LOPD.

La STS de 6 de octubre de 2009, considera inadmisible el recurso contencioso-administrativo interpuesto contra una resolución de archivo de actuaciones por falta de legitimación activa, desta-cando que el denunciante de una infracción de la legislación de

22


< índIcE >

protección de datos carece de legitimación activa para impugnar la resolución de la agencia en lo que concierne al resultado san-cionador del mismo.

La STS de 20 de octubre de 2009, declarando haber lugar al re-curso interpuesto por el Abogado del Estado, viene a confirmar la resolución por la que la Agencia sancionó a un servicio de pre-vención de riesgos laborales por utilizar los datos obtenidos del afectado cuando prestaba sus servicios en una empresa clien-te del mismo para la valoración de la aptitud de ese trabajador cuando pasó a prestar servicios en otra empresa que tenía con-tratado el mismo servicio de prevención.

Las STS de 23 de octubre y 17 de noviembre de 2009 confirman los criterios de la Agencia en relación con los supuestos de apa-rición de datos personales en la vía pública, en el sentido de considerar vulnerado el artículo 10 de la LOPD. En particular, la primera de ellas considera que el hecho de no haberse formula-do denuncia por los afectados no puede ser tenido en cuenta a la hora de aplicar los criterios establecidos en el artículo 45.5 de la LOPD.

La STS de 17 de noviembre de 2009 se refiere al alcance de la excepción al consentimiento para la cesión de datos a órganos judiciales, considerando que la misma sólo es aplicable en los supuestos en los que los datos son directamente solicitados por aquéllos.

La STS de 2 de diciembre de 2009, declara no haber lugar al re-curso de casación confirmando la SAN que a su vez consideraba ajustado a derecho el archivo de las actuaciones acordado por la Agencia, referido al tratamiento del dato de afiliación sindical, dado que la solicitud de descuento de cuota sindical fue intere-sada voluntariamente por los propios trabajadores afectados.

Asimismo, diversas SSTS, como las de 29 de abril, 4 de mayo, 16 de septiembre, 14 de octubre y 17 de noviembre de 2009 se refieren a los requisitos exigibles para la verdadera existencia de un encargado del tratamiento, haciendo todas ellas hincapié en la necesidad de que exista un contrato escrito, cuya veracidad podrá examinarse por la Agencia Española de Protección de Da-tos y en que el encargado se limite a tratar los datos por cuenta del responsable y no en beneficio propio.

En especial, la STS de 9 de octubre de 2009 se refiere al supuesto en que dos empresas contratan la prestación de un servicio a los clientes de la primera de ellas (la emisión de una tarjeta de pago de combustible) que implica para la segunda la obtención de un beneficio directo como consecuencia del uso de dicho servicio por los citados clientes, entendiendo que no existe duda de que nos encontramos ante una cesión de datos.

c. UnA DeMAnDA creciente De gArAntíAs: UnA respUestA ActivA De LA AgenciA

El crecimiento de la demanda ciudadana sobre sus derechos en ma-teria de protección de los datos personales es un fenómeno incon-testable.

En 2009 el número de reclamaciones planteadas ante la AEPD ha dado lugar a un incremento del 75% de las actuaciones iniciadas, que han llegado a superar las 4.100. A las que se añaden las relati-vas a la tutela de derechos citadas anteriormente.

Los principales sectores objeto de investigación han sido los de te-lecomunicaciones, entidades financieras y videovigilancia cuya inci-dencia en el total de actuaciones realizadas oscila entre el 17,43% de esta última y casi el 22% de la citada en primer lugar. El resto de los sectores, cuya incidencia en el total de actuaciones es inferior al 10%, son las siguientes:

Administración Pública. Comunicaciones electrónicas comerciales – spam (LSSI).

Profesionales, comunidades de propietarios, administración de fincas.

Servicios de Internet.

Comercio, transporte y hostelería.

Sanidad.

Recursos humanos, asuntos laborales, mutuas.

23

MEMORIA 2009

< índIcE >

Asociaciones, federaciones, colegios profesionales, ONG’s, fundaciones, clubes.

Suministro y comercialización de gas, electricidad y agua. Publicidad y prospección comercial (excepto spam).

Informaciones publicadas en medios de comunicación.

Seguros.

Enseñanza.

Fuerzas y cuerpos de seguridad.

Envío de comunicaciones comerciales por fax (LGT). Sindicatos. Partidos políticos.

Seguridad privada. Procedimientos judiciales.

Sin embargo, en las resoluciones de procedimientos sancionadores a entidades privadas, el sector de las telecomunicaciones y las en-tidades financieras, pese a ocupar el primer y tercer lugar por nú-mero de procedimientos, han descendido en un 10,34% y un 21,26% respectivamente.

Por el contrario, el sector de la videovigilancia privada por razones de seguridad asciende al segundo lugar del número de procedimien-tos sancionadores resueltos, con un crecimiento del 229,55% sobre el año anterior. Estas cifras confirman la afirmación de la Memoria de 2008 sobre que estamos ante un fenómeno omnipresente ante el que es preciso reforzar las garantías de los ciudadanos.

Se producen descensos significativos, superiores al 20%, de reso-luciones sancionadoras en los sectores de comercio, transporte y hostelería y en el sector sanitario. El primero de ellos es relevante por tener un peso relevante las pequeñas y medianas empresas y el segundo por afectar a datos especialmente protegidos como son los de salud. Si bien en este último se aprecia un incremento de las solicitudes de tutela de derechos relacionadas con el acceso a la historia clínica.

Las resoluciones declarativas de infracción de la LOPD por las Ad-ministraciones Públicas crecen al mismo ritmo que las del sector

24


< índIcE >

privado (en torno al 12,5%). En las Administraciones Autonómicas el incremento anual sigue siendo superior al 30% (38,10%), redu-ciéndose las relacionadas con la Administración General del Estado (-19,05%) y la Administración Local (-31,25%). Y pasan a tener un peso relativo cercano al 25% del total de resoluciones las infraccio-nes cometidas por otras entidades de derecho público.Las principales infracciones declaradas son:

Infracciones del deber de secreto.

Falta de medidas de seguridad, incluidos los hallazgos de docu-mentación accesibles en la vía publica o en la basura.

Tratamiento de datos con conculcación del principio de calidad de datos.

Omisión del deber de información.

Creación de ficheros sin disposición general habilitante y no ins-cripción en el RGPD.

Cesión ilícita de datos.

Ahora bien, en valores absolutos, las infracciones de las Administra-ciones públicas se mantienen en niveles reducidos (71 frente a 621).

Las principales actuaciones inspectoras por iniciativa del Director de la AEPD han sido:

Documentos con datos de carácter personal hallados en conte-nedores de basura en la vía pública procedentes de una agencia de seguros y un bingo catalán.

Documentos abandonados en los locales de antigua comisaría de policía.

Cámaras de videovigilancia instaladas por los vecinos en un ba-rrio barcelonés.

Documentos al alcance de los ciudadanos en el Registro Civil de Madrid.

Almacenamiento de diversa documentación clínica en áreas no restringidas al público de un hospital psiquiátrico orensano.

Portales de contactos personales que facilitan la votación de la imagen física de los usuarios, en particular cuando son menores de 14 años.

Portal de contactos personales con usuarios de todo el mundo, clasificados según país (en particular, España) y centro educativo.

Hallazgo por la Inspección de Datos en la red eMule de un fichero conteniendo datos de más de 3.000 clientes de una clínica canaria.

Comunicación de datos de clientes entre dos filiales de un grupo empresarial de telecomunicaciones.

Procedimiento de requerimiento telefónico del pago de deudas por parte de una entidad financiera.

Revelación pública a través de los medios de comunicación de la identidad de una menor antes de su muerte, relacionada con unas actuaciones judiciales iniciadas como consecuencia de su hospitalización previa en un centro sanitario de Canarias.

Análisis de la adecuación de un fichero común con información sobre inquilinos morosos.

Análisis de la adecuación de los tratamientos realizados por una compañía especializada en servicios de listbroking en el sector del marketing directo.

Formularios del Registro Central de Medidas Cautelares (Minis-terio de Justicia).

El importe de las sanciones impuestas ascendió a 24.872.979,72 €. Aunque esta cifra supone un incremento del 12,99% sobre el año anterior, se aproxima al volumen de sanciones declaradas en el año 2006. (24.422.292,98 €).

Con la relevante diferencia de que el número de procedimientos san-cionadores resueltos en 2009 es superior en un 235% al del 2006. (709 frente a 301).

25

MEMORIA 2009

< índIcE >

Es precisamente el importante incremento de los procedimientos sancionadores y no la cuantía de las sanciones declaradas la que explica la cifra de sanciones impuestas.

De las resoluciones sancionadoras, el 92,84% se declaran en aplica-ción de la LOPD, el 5,76% en aplicación de la LSSI –con una disminu-ción próxima al 5%- y el 1,40% en aplicación de la LGT.

Las sanciones que presentan un incremento mayor son las califica-das como leves (Δ44,76%), mientras que las sanciones graves per-manecen estables y las muy graves disminuyen casi en un 6%.

El número de casos en que se apreció una disminución cualificada de la responsabilidad de los infractores fue del 40,72% del total de resoluciones sancionadoras. Los criterios aplicados para apreciar esta circunstancia fueron los siguientes:

Cuando la entidad imputada ha absorbido o se haya fusiona-do con la entidad responsable que originó la infracción y no ha transcurrido un periodo prolongado.

Cuando la entidad imputada dispone de un protocolo de actua-ción adecuado en la recogida de datos y tal protocolo haya, ex-cepcionalmente, fallado.

Cuando la entidad imputada ha regularizado la situación denun-ciada de forma diligente en un tiempo prudencial desde el cono-cimiento de los hechos.

Cuando los hechos denunciados deriven de un error de difícil detección (no producido por una actuación negligente ni por la errónea aplicación de una norma).

Cuando los hechos denunciados deriven de la falta de diligencia en la conducta del afectado o sea corresponsable de la infracción imputada a la entidad.

Cuando quede acreditada la confianza legítima y no quepa la exoneración al obedecer la infracción a un requerimiento de la Administración.

Cuando se trata de una persona física o pequeña o mediana em-presa y la infracción se deba a cuestiones de cualificación técnica.

Por su parte las resoluciones de archivo y las denuncias inadmitidas se incrementaron en 15,83% y en un 450,14%, respectivamente. Los motivos más frecuentes de archivo fueron:

Inaplicabilidad de la LOPD por estar excluido de su ámbito terri-torial de aplicación.

Tratarse de un supuesto de cesión de deuda sobre la que ya ha recaído sanción.

Incompetencia de la Agencia en la interpretación de cláusulas contractuales de orden civil/mercantil.

El afectado o denunciante está excluido de la LOPD como perso-na jurídica.

Tratamiento de datos relativos a fallecidos no amparados por la LOPD.

Falta de indicios mínimos para abrir una investigación que inver-tiría el principio in dubio pro reo.

Prevalencia del derecho a la libertad de expresión en medios de comunicación.

Prevalencia del derecho a la tutela judicial efectiva como habili-tante para el tratamiento de datos.

Resultar procedente instar previamente la cancelación o rectifi-cación al tratarse de una opción contemplada en el ordenamien-to y no haberse producido daños.

Analizando los datos que se han expuesto cabe concluir que el incre-mento cuantitativo de las sanciones, consecuencia del incremento previo de las denuncias, no es obstáculo para apreciar una mejora en el cumplimiento de la LOPD, al crecer los incumplimientos por motivos formales, reducirse las infracciones muy graves y diminuir la culpabilidad cuando se comete una infracción.

26


< índIcE >

La Memoria de 2008 recogió la preocupación ciudadana sobre la re-cepción de publicidad telefónica, constatada en la inspección secto-rial realizada por la AEPD. En ella se citaban, entre otros problemas, los relacionados con el desconocimiento o la ausencia de procedi-mientos efectivos para oponerse a recibir publicidad.

La necesidad de dar una respuesta eficaz a esta cuestión ha lleva-do a la Agencia a promover, junto con la Federación Española de Comercio Electrónico y Marketing Directo (FECEMD), la puesta en marcha de un nuevo fichero de exclusión para evitar que quienes no desean recibir publicidad puedan manifestarlo.

El servicio de Lista Robinson, presentado conjuntamente el 30 de junio, ofrece las siguientes ventajas:

Permite a los ciudadanos gestionar la publicidad que reciben.

En particular, permite a los padres o tutores solicitar que no se traten los datos de los menores para el envío de publicidad.

Posibilita elegir los canales a través de los que se desea recibir publicidad, incluyendo el postal, el correo electrónico, los men-sajes SMS y MMS y el telefónico.

En cada uno de los canales permite seleccionar varias opciones sobre la identidad de la persona, sus domicilios, las direcciones de correo electrónico y los números de teléfono.

El servicio de Lista Robinson es gratuito para quienes se registran, siendo efectiva la inclusión a partir de los tres meses del registro.

Este servicio no es aplicable a los casos en que la persona ha faci-litado voluntariamente su consentimiento a entidades para que le envíen publicidad. No obstante, para la publicidad telefónica, que es una de las que generan mayor rechazo, ofrece una plataforma a los ciudadanos para revocar su autorización enviando un modelo de correo electrónico a las empresas adheridas al servicio de Lista Robinson. Para ello se ofrece una opción de búsqueda de las enti-dades adheridas.

Conforme al RLOPD, las empresas que realicen campañas publici-tarias con los citados datos han de consultar previamente la Lista Robinson a fin de excluir a quienes no desean recibir publicidad.

De la información solicitada a FECEMD el número de personas regis-tradas en el servicio de Lista Robinson ascendía a más de 110.000, a 31 de diciembre de 2009.

De ellos, un 37,75% no desea recibir publicidad telefónica, en torno al 25% rechazan mensajes SMS, un 23,23% se oponen a la recepción de correos electrónicos y un número más reducido (16,4%) no de-sean publicidad postal.

La puesta en marcha del servicio es una muestra palpable de la efi-cacia de las políticas preventivas y de colaboración con los obligados por la LOPD para incrementar las garantías de los ciudadanos.

En el ámbito de la actividad publicitaria, la Memoria de 2008 infor-maba, además, sobre la inspección sectorial realizada por la Agen-cia sobre los mensajes publicitarios y comerciales a telefonía móvil, sintetizando las principales deficiencias detectadas.

En 2009 se han producido avances en éste ámbito.

La Orden ITC/308/2008, de 31 de enero, que regula estos servicios estaba condicionada a la aprobación de un código de conducta para su prestación; el cual ha sido publicado por Resolución de la Se-cretaría de Estado de Telecomunicaciones y para la Sociedad de la Información en el Boletín Oficial del Estado de 27 de julio de 2009.

Con ello se ha dado respuesta a algunas de las recomendaciones de la inspección sectorial, entre las que destacan las siguientes:

Identificación de los distintos servicios de tarificación adicional a través de los números que tienen asignados.

27

MEMORIA 2009

< índIcE >

Se establecen los requisitos que deberá reunir la información y la publicidad que se realice sobre los servicios de tarificación adicional basados en el envío de mensajes. Así cualquier publici-dad que se realice de un número de tarificación adicional deberá informar al usuario del precio final y completo, impuestos inclui-dos y el contenido del servicio deberá ajustarse a lo publicitado.

La obligación del operador titular del número que suministra los servicios de tarificación adicional de que sea fácilmente identi-ficable para que los usuarios puedan ponerse en contacto con él y de informar al usuario de los servicios prestados, su precio y demás condiciones de contratación.

La obligación de los operadores que facturan al abonado de in-formar a los usuarios sobre el derecho a la desconexión.

Los operadores que provean el acceso al servicio deberán ga-rantizar el derecho a la desconexión efectiva y evitar que la dis-conformidad del abonado con la facturación de los servicios de mensajes no dé lugar a la suspensión del servicio telefónico, ni del general de mensajes, si el abonado paga el importe de estos últimos.

En un entorno de crisis económica como el que se desarrolló duran-te 2009 con un alto crecimiento de la morosidad, se ha producido un incremento exponencial de actuaciones en materia de protección de datos derivadas o relacionadas con la reclamación de impagos.

Así, debe reseñarse el muy importante aumento en la invocación por los ciudadanos de los mecanismos de defensa otorgados por la LOPD frente a un indebido tratamiento de sus datos personales en la esfera de la morosidad. El número de tutelas iniciadas en tal mate-ria se incrementó un 570% y el de actuaciones previas a un eventual procedimiento sancionador un 225%.

En el ámbito de cesión de cartera entre empresas (venta de deuda) se han resuelto varios expedientes sancionadores que han derivado en la imposición de sanciones que han llegado hasta 420.000 €. Se tra-taba de casos en que empresas, principalmente adscritas al sector de telecomunicación, realizaban la venta de la cartera de deudores a un cesionario que se encargaría de gestionar el recobro de deudas referentes a miles de clientes. Tras la comprobación de que en va-rios supuestos se estaba realizando la cesión de un deudor o deuda inexistente se adoptaron las decisiones sancionadoras citadas.

Otro problema suscitado ha sido el de la actualización de los domi-cilios del moroso para poder recabar la deuda correspondiente. En este sentido deben resaltarse las sentencias de la Audiencia Nacio-nal que reconocen la obligación del deudor de mantener actualiza-das sus señas permitiéndose en caso contrario su reactualización sin que se produzca vulneración de la LOPD. Junto a ello es signifi-cativa la inmovilización de un fichero de domicilios correspondiente a 36 millones de españoles utilizado con frecuencia para reactuali-zar los datos de los eventuales morosos pero alimentado por deter-minadas fuentes no conciliables con las previsiones de la normativa de protección de datos.

La entrada en vigor del Reglamento de desarrollo de la LOPD ha su-puesto el inicio en la presentación de denuncias por vulneración de previsiones introducidas por la citada norma. Así ha ocurrido en lo relativo a la inclusión en ficheros de solvencia de referencias a deu-das sobre las que se había entablado reclamación judicial, arbitral o administrativa, o bien sin especificar en el requerimiento previo a la inclusión que en el caso de no producirse el pago podrían ser comunicados los datos de impago a ficheros de solvencia o por ha-ber accedido a la información contenida en el fichero sin tratarse de terceros habilitados.

Finalmente cabe reseñar varias denuncias frente a eventuales prác-ticas vulneradoras del deber de secreto en las actuaciones de re-cobro mediante la divulgación de la deuda existente a familiares o allegados al objeto de forzar el cobro de una cuantía supuestamente debida.

28


< índIcE >

En relación con la conservación de los datos de salud está adquirien-do una importancia creciente dar respuesta a la cuestión de quién debe responsabilizarse de la custodia de las historias clínicas en los casos en que una entidad privada deja de prestar sus servicios o un profesional sanitario que ejerce privadamente su actividad se jubila o fallece.

En tales supuestos, de no existir una nueva entidad o profesional al que deseen acudir los pacientes, es preciso garantizar el cumpli-miento de la obligación de conservación que impone la normativa sanitaria y, con ello, la disponibilidad para los ciudadanos de una información tan sensible como es la de su historia clínica.

Una alternativa factible sería potenciar que los Colegios Profesiona-les arbitrarán mecanismos para custodiar la información clínica a ante estas eventualidades.

29

MEMORIA 2009

< índIcE >

A. internet. nUevos servicios, nUevos retos

La oferta de servicios en Internet tiene en muchos casos un elemen-to común: la gratuidad para el usuario. El modelo de negocio que permite el acceso gratuito a estos servicios se basa en la publicidad asociada a ellos. Sin publicidad no existiría Internet tal como hoy lo conocemos.

El desarrollo de la publicidad en Internet se basa en un conocimien-to cada vez más profundo de los hábitos del usuario con el fin de per-sonalizar y hacer más eficaz el impacto del mensaje publicitario.

Las condiciones de uso del servicio se establecen unilateralmente por el prestador del mismo y el usuario se adhiere a ellas. La autori-zación del usuario para configurar perfiles de navegación o analizar el contenido de sus comunicaciones y recibir publicidad es la contra-prestación por el uso gratuito de los servicios.

En este marco, la protección de la privacidad debe buscar nuevos caminos. La política reactiva basada en la declaración de infraccio-nes y la imposición de sanciones es insuficiente. Deben primar las políticas activas de relación con los proveedores de estos servicios para que el diseño de los servicios y sus condiciones de uso ofrezcan garantías sobre el tratamiento de la información personal.

En 2009 la Agencia ha ampliado la política de interlocución con los prestadores de servicios, iniciada en relación con los motores de búsqueda, a otros servicios de uso masivo como las redes sociales en Internet.

Para conocer los riesgos para la privacidad y seguridad en las redes sociales la Agencia realizó junto con el Instituto Nacional de Tecno-logía de la Información (INTECO), un estudio sobre “la privacidad de datos personales, y seguridad de la información en redes sociales”. El estudio incluye un catálogo de recomendaciones dirigidas a los

responsables de estos servicios y a los propios usuarios, entre los que destacan las siguientes:

Las condiciones de uso y políticas de privacidad deben redac-tarse con un lenguaje comprensible, para que cualquier tipo de usuario conozca sus derechos y obligaciones.

Control de la indexación y almacenamiento de los perfiles por parte de los buscadores en Internet.

Cambios en la configuración del nivel de privacidad, de forma que se establezca, por defecto, el máximo grado de seguridad en el perfil del usuario (generalmente permite la máxima difusión de los perfiles).

Puesta a disposición del usuario de herramientas que le otor-guen el control absoluto de la información que publica en la red; es decir, medios que limiten la posibilidad de etiquetar a otros usuarios en la red (recibiendo automáticamente una solicitud de aceptación o rechazo).

Implantación de sistemas que faciliten la comprobación de la edad de los usuarios que intenten acceder al servicio, reduzcan los casos de suplantación de identidad (bloqueando el acceso al usuario que utilizó el perfil de otro de forma ilegítima) o detecten el nivel de seguridad de las contraseñas elegidas (e informen de los mínimos aconsejables).

No publicar informaciones de terceros sin su consentimiento.

No publicar en los perfiles excesiva información personal y fami-liar (ni datos que permitan la localización física), tener especial cuidado a la hora de alojar contenidos gráficos y configurar cui-dadosamente el grado de privacidad del perfil de usuario en la red social.

No aceptar solicitudes de contacto de forma compulsiva, sino únicamente a personas conocidas o con las que haya relación previa.

30


3. LA privAciDAD en riesgo: Los grAnDes interrogAntes

< índIcE >

La Agencia trasladó a los responsables de algunas de las principales redes sociales que operan en España, Tuenti y Facebook, las reco-mendaciones del estudio, haciendo especial hincapié en la mejora de las políticas de privacidad para que ofrezcan una información cla-ra, accesible y comprensible; en la necesidad de configurar políticas de privacidad por defecto, es decir en ausencia de una decisión del usuario, que garantice el máximo grado de privacidad y en la cance-lación de todos los contenidos del perfil, en el momento en que se solicita la baja.

Las compañías han manifestado una disposición positiva para incor-porar las mejoras y seguir manteniendo un dialogo fluido que per-mita evaluar los avances implantados.

La interlocución con los prestadores de servicios debe compatibi-lizarse con la resolución de las reclamaciones de los ciudadanos, cada vez más frecuentes.

El número total de expedientes de actuaciones previas iniciados en 2009 que se relacionaban más específicamente con servicios pres-tados a través de Internet fue de 156, lo que supone casi un 4% del total de actuaciones iniciadas en el ejercicio.

Como novedad más sobresaliente, 18 de esos expedientes (más del 11 %) se abrieron como consecuencia de 31 denuncias relacionadas con usuarios de las redes sociales Facebook y Tuenti, la mayor parte de las cuales se referían a la difusión de fotografías de terceros sin el consentimiento de éstos. Un aspecto destacable de estos expe-dientes es que las infracciones se imputan a los propios usuarios de los servicios y no a la empresa que lo presta, lo cual no es, en princi-pio, responsable de los contenidos incorporados por los usuarios.

La mayor parte del resto de actuaciones tienen también relación con la difusión no autorizada de datos de carácter personal a través de Internet. 37 de ellas (casi 24 % del total) se refieren específicamente a foros o blogs, 13 (más del 8 %) a portales de video, fundamental-mente Youtube, y 38 (más del 24 %) a otro tipo de sitios web como sedes corporativas, repertorios jurídicos o páginas personales.

28 reclamaciones (un 18 % aproximadamente) se refiere a sitios web de anuncios, a portales de contactos personales o a servicios de co-rreo electrónico. En su mayor parte se relacionan con la difusión no autorizada de datos.

10 de las actuaciones (más del 6%) se refieren a incidencias de di-versa índole relacionadas con tiendas virtuales o, en general, con operaciones de comercio electrónico.

Son finalmente reseñables las 5 actuaciones previas iniciadas en relación con los servicios de búsqueda de páginas web y de loca-lización de información personal en directorios o en buscadores de personas.

B. Los Menores. UnA protección necesAriA Ante sU presenciA creciente en LA reD

El uso de redes sociales por parte de los menores se ha convertido en una actividad habitual para su desarrollo social. Esta actividad les reporta grandes ventajas al ofrecerles acceso a un nuevo medio de comunicación y de relación social. Los riesgos para los menores parten en gran medida de un déficit educacional básico: desconocen cómo ejercer un verdadero control sobre su información.

La normativa de protección de datos no permite a los menores de catorce años registrarse como usuarios de una Red social sin el con-sentimiento de sus padres. La Agencia ha asumido como una priori-dad el cumplimiento de esta obligación.

En las reuniones mantenidas con los responsables de Tuenti y Fa-cebook el control del acceso de los menores ha sido una exigencia permanente, analizando los procedimientos tecnológicos y organi-zativos que permitan hacerlo efectivo.

En abril de 2009 Tuenti adquirió el compromiso de implantar en el plazo de tres meses sistemas efectivos de verificación de la edad y a depurar los perfiles de los menores de catorce años registrados en la red social.

En el mes de julio Tuenti presentó a la AEPD las medidas adoptadas. La red social analiza los perfiles de usuarios que aparentan ser me-nores de catorce años y les envía una solicitud para que aporten fo-tocopia de su DNI o pasaporte en el plazo de 92 horas. Si no se recibe respuesta se comunica al usuario que su perfil será borrado.

31

MEMORIA 2009

< índIcE >

Tuenti ha comprobado varios miles de registros sospechosos y ha borrado los perfiles en un porcentaje superior al 90% de los usuarios requeridos por la compañía. Tuenti se ha comprometido a reforzar los procesos de depuración de los perfiles existentes y a desarrollar sistemas de comprobación de los nuevos perfiles que se creen sos-pechosos de ser de menores de catorce años.

Asimismo informó sobre la modificación de la política de privacidad de la Red social, estableciendo por defecto el máximo nivel de priva-cidad –sólo entre amigos- para los menores de dieciocho años.

En Facebook la edad mínima para que los menores puedan ser usuarios de la red social son trece años, por ser la prevista en la legislación de los Estados Unidos de Norteamérica.

La Agencia instó a los responsables de la Red a que incrementaran la edad a los catorce años para los usuarios desde España. Poste-riormente se reiteró el requerimiento solicitando información sobre el aumento de la edad y sobre los motivos que, en su caso, lo impi-dieran.

La preocupación por el control de los menores de catorce años ha sido compartida por el Defensor del Pueblo al que la Agencia ha informado sobre la evolución de las medidas adoptadas.

Más allá de las redes sociales, otros servicios en Internet también presentan riesgos para los menores, entre los que destacan los por-tales de contactos en los que se publican imágenes, en ocasiones provocativas, de adolescentes y se facilita la votación sobre ellas.

La creciente presencia de los menores como usuarios de Internet hace necesario completar las acciones que se han descrito, con un impulso decidido para incorporar a los planes de estudio una forma-ción adecuada sobre protección de datos y privacidad, así como para que las Administraciones Públicas y los centros educativos pongan a disposición de los alumnos tecnologías que limiten el acceso a ser-vicios de la Red a los menores de catorce años.

En esta búsqueda de herramientas para verificar la edad de los menores, el Documento Nacional de Identidad electrónico, por medio del certificado reconocido de autenticación, se revela como uno de los instrumentos más eficaces para acreditar la edad en Internet.

Por ello, esta Agencia considera extraordinariamente importante que se pongan en marcha las iniciativas adecuadas con el fin de que los mayores de catorce años dispongan de los medios digitales que permitan acreditar que tienen la edad requerida para otorgar su consentimiento para el tratamiento de sus datos.

32


< índIcE >

Esta iniciativa posibilitaría que la industria relacionada con las redes sociales y otros servicios disponibles en Internet adaptasen sus apli-cativos con el fin de permitir la identificación de los menores.

c. LA viDeovigiLAnciA: convivir con gArAntíAs

La videovigilancia por razones de seguridad se ha convertido en una realidad omnipresente. Cada año se produce un crecimiento signifi-cativo de los ficheros de videovigilancia, especialmente, por parte de entidades privadas, aunque también por las Administraciones Pú-blicas. Los ficheros inscritos en el Registro General de Protección de Datos que declaran esta finalidad se incrementaron en torno al 240% en el ámbito privado superando la cifra de 37.000.

Los principales sectores en los que se declaran ficheros de videovi-gilancia son el comercio, con una quinta parte del total, seguido del turismo y hostelería, las comunidades de propietarios, la sanidad, la industria química y farmacéutica, la construcción y las actividades relacionadas con los productos alimenticios, bebidas y tabaco. Todos ellos con una cifra superior al millar de ficheros.

En el ámbito público el incremento fue del 60% con un total de 578 ficheros.

De lo que se desprende que la videovigilancia se ha convertido en una realidad de nuestra vida cotidiana con el que es necesario con-vivir. Pero convivir con garantías para la privacidad.

La encuesta del CIS de 2009 refleja cómo perciben esa convivencia los ciudadanos, destacando los siguientes parámetros:

La mayoría de los encuestados se sitúan en una posición inter-media si tienen que elegir entre libertad y seguridad.

En cuanto a las cámaras de videovigilancia, el 68,7% se mues-tra a favor de su colocación. De ellos, el 66,4% lo apoyan porque proporciona más seguridad, el 18,0% porque permite la identifi-cación de los delincuentes y el 15,2% porque evita delitos.

En contra de la instalación de cámaras se posiciona el 10%. El motivo fundamental para posicionarse en contra es la pérdida de intimidad con un 79,4%.

El 43,8 % ve muy bien y el 51,7% ve bien la instalación de cáma-ras en bancos. En comercios le parece muy bien al 34% y muy bien al 54.3%. En guarderías y colegios le parece bien al 50,6 % y muy bien al 26,6%.

Los lugares donde son menos partidarios los ciudadanos a la instalación de cámaras son los locales de trabajo, en los que le parece mal o muy mal al 36,7 %, y bares y restaurantes, donde le parece mal o muy mal al 36%.

Respecto a la señalización de las cámaras el 62,2 % sabe que debe señalarse su instalación y el 7% cree que no deben seña-larse.

El 72,8% se muestra a favor de que se controle la difusión de imágenes grabadas por cámaras de videovigilancia que se emi-ten por televisión o Internet. El 15% se muestra en contra.

Los casos de difusión de imágenes por Internet o televisión en los que se ha vulnerado el derecho a la intimidad le parece bas-tante preocupante al 46,0% y le preocupa mucho al 26,9%.

No obstante la percepción que se desprende de la encuesta del CIS debe ser matizada por el hecho de que cada vez es mayor el número de personas que denuncian incumplimientos de la LOPD en relación con la videovigilancia, en la que se han incrementado en un 230 % los procedimientos sancionadores resueltos.

Las denuncias presentadas se refieren a la instalación de cámaras de videovigilancia realizadas por particulares, para vigilar viviendas unifamiliares, instaladas en garajes comunitarios, en la ventana de sus viviendas o para vigilar servidumbres de paso. También afectan a la instalación de cámaras en empresas o entidades tanto públicas como privadas sin cartel informativo sobre la videovigilancia.

33

MEMORIA 2009

< índIcE >

Otro grupo de denuncias son a empresas que han utilizado las imá-genes grabadas por las videocámaras para aportarlas en juicios, como mecanismo probatorio en la imposición de sanciones discipli-narias o para el despido de trabajadores.

Por lo que cabe concluir que la percepción positiva sobre la videovi-gilancia va acompañada de una exigencia de garantías para la priva-cidad. En definitiva: una convivencia con garantías.

Ante esta situación cobran especial relevancia las políticas activas de información a los responsables de estos ficheros y a los ciuda-danos.

En este sentido la Agencia incluyo la videovigilancia como tema cen-tral de la II Sesión Anual Abierta celebrada el Día Europeo de Pro-tección de Datos, y presentó una guía sobre la misma. La guía de videovigilancia es un documento conciso y accesible que pretende ofrecer indicaciones y criterios prácticos que permitan un adecuado cumplimento de la legislación vigente en la captación y tratamiento de datos con dicha finalidad.

Por otra parte, la reciente promulgación de la Ley 25/2009, de 27 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios, ha venido a ampliar la legitimación para la instalación y uso de dispositivos de videovigilancia. Lo que presumiblemente dará lugar a una reducción de las resoluciones sancionadoras de la AEPD, al ser dicha falta de legitimación una de las infracciones más frecuentes.

El uso de videocámaras, dada la accesibilidad de la tecnología y la reducción de costes, se ha generalizado para otras finalidades dis-tintas de la seguridad.

Entre estas actividades se incluye la instalación de cámaras accesi-bles a través de Internet con diversas finalidades como son la cap-tación de imágenes panorámicas de paisajes, la captación de imá-genes en la vía pública, en el lugar de trabajo, en establecimientos comerciales o en vestíbulos de hoteles.

En todos estos casos se trata de cámaras conectadas a Internet que permiten un acceso remoto a través de la Red al visionado de imá-genes en tiempo real.

La AEPD realizó de oficio una inspección sectorial sobre el empleo de cámaras que permiten difundir imágenes a través de Internet con el fin de obtener conclusiones sobre el respeto a las garantías que la LOPD reconoce a los ciudadanos.

En la inspección se ha constatado que en muchos casos las cámaras que emiten imágenes a través de Internet únicamente recogen pai-sajes o panorámicas en los que, al no recabar imágenes de personas o recabarlas de forma que no puedan ser identificadas o reconocidas, no presentan riesgo para la privacidad. Sin embargo, la mayor parte de las cámaras permiten la identificación de las personas captadas.

La principal deficiencia que se ha constatado es que, aunque las cámaras disponen de mecanismos de control para el acceso a las imágenes basados en usuario y contraseña que evitarían el acceso indiscriminado a través de Internet, es habitual que dichos meca-nismos estén desactivados por el fabricante o estén activados con usuario y contraseña por defecto, fácilmente identificable para cual-quier usuarios de Internet. A lo que se une una falta de diligencia por las personas o entidades que instalan las cámaras, que no activan dichos controles o no modifican los incorporados por defecto, crean-do una vulnerabilidad que permite el acceso por terceros al dejar la cámara en una situación de “puertas abiertas”.

Estas deficiencias permiten, en ocasiones, no sólo acceder al visio-nado de las imágenes, sino incluso manejar remotamente la cámara a través del “zoom”, moviéndolo en sentido vertical u horizontal, ob-teniendo sonido o grabando las imágenes recibidas.

Este riesgo se multiplica como consecuencia de las facilidades que ofrecen los buscadores en Internet para obtener información sobre los procedimientos de acceso a las cámaras.

En cuanto a la titularidad de las cámaras instaladas se ha constata-do que no sólo son propias de empresas, sino también de personas físicas.

34


< índIcE >

Como consecuencia de la inspección se ha elaborado un catálogo de recomendaciones entre las que destacan los siguientes:

Es esencial activar el control de acceso a las imágenes con usua-rio y contraseña y formar al personal que las utiliza.

Recordar tanto a particulares como a empresas que la utilización de videocámaras para vigilar la vía pública está reservada única-mente a las Fuerzas y Cuerpos de Seguridad del Estado.

Si capta imágenes panorámicas, -paisajes, edificios, tráfico ur-bano etc.-, asegúrese de que nunca se tomen planos cercanos que muestren rasgos reconocibles y evite que terceros no auto-rizados accedan a los controles de la cámara.

Si se emplean cámaras de video conectadas a Internet que per-miten un acceso remoto a través de la Red al visionado de las imágenes en tiempo real para el control de la actividad de los tra-bajadores, deben ser informados y respetarse sus derechos. Si se van a difundir imágenes de una empresa con fines promocionales es necesario obtener el consentimiento de los empleados.

Asegúrese de que si los menores utilizan webcam para realizar videollamadas, chat con video o mostrar imágenes en tiempo real a amistades, lo hacen de forma segura y controlada y com-pruebe que los menores realizan un uso apropiado, bajo su su-pervisión de las webcam.

Asimismo, se incluye como recomendación a los fabricantes y distribuidores de estos dispositivos que faciliten, junto con la documentación o instrucciones, el Decálogo para usuarios de videocámaras conectadas a Internet.

Como consecuencia de la inspección se han iniciado y resuelto siete procedimientos sancionadores.

D. entorno LABorAL: eqUiLiBrio entre DerecHos y oBLigAciones

La variedad de tratamientos de datos personales que se llevan a cabo en el entorno laboral ha motivado que la AEPD tomara la iniciativa de elaborar una guía sobre la protección de datos en la empresa. La guía se plantea, así, con el objetivo de ofrecer respuesta a un conjun-to de aspectos prácticos a los que las empresas deben enfrentarse habitualmente, sugiriendo los criterios que permitan cumplir la nor-mativa de protección de datos personales. Con el efecto añadido de que pueda servir de punto de referencia en las relaciones entre los agentes sociales implicados.

En la gestión de recursos humanos la guía destaca la importancia de informar a los trabajadores sobre las finalidades para las que se utilizará la información diferenciando los tratamientos vinculados al contrato de trabajo de otras finalidades distintas.

Asimismo, se diferencian los usos de la información en los proce-dimientos de selección del personal, en la contratación y durante el desarrollo de la relación laboral.

Se incluyen recomendaciones específicas sobre el tratamiento de datos especialmente protegidos, en particular, los de salud y afi-liación sindical, así como las garantías que deben observarse en la prevención de riesgos laborales por parte de los distintos sujetos que pueden intervenir en ella.

Aún no tratándose necesariamente datos personales, la guía incor-pora recomendaciones para que la implantación de sistemas inter-nos de denuncia en la empresa se lleve a cabo garantizando la pro-tección de los empleados.

Destaca el capítulo dedicado a los controles empresariales que pro-gresivamente alcanzan a un mayor número de aspectos de la rela-ción laboral, indicando las reglas aplicables a controles biométricos, la videovigilancia en el trabajo o sobre el uso de las herramientas tecnológicas facilitadas por el empleador y, también, los relaciona-dos con el control del absentismo laboral.

35

MEMORIA 2009

< índIcE >

Las relaciones con los sindicatos se contemplan con una perspectiva amplia que comprende la publicación de datos personales en tablo-nes y los accesos y cesiones de información a los sindicatos.

Y, concluye con un recordatorio a los trabajadores sobre sus deberes respecto a la seguridad y el secreto que deben presidir el uso de la información que conozcan en el marco de actividad laboral.

e. Los FLUjos internAcionALes De DAtos. FLexiBiLiDAD y gLoBALizAción

Las transferencias internacionales de datos desde España se han globalizado y alcanzan todas las áreas geográficas del mundo. El número de autorizaciones se incrementó en un 25%. Los Estados Unidos (EEUU), pese a la disminución del número de transferencias, continúa siendo el primer país de destino.

Los países latinoamericanos presentan un fuerte crecimiento supe-rior al 100% y se aproximan con un total de 132 autorizaciones a los volúmenes de EE.UU. Asia sigue manteniendo un volumen constante de autorizaciones alcanzando la cifra total de 115 debido, fundamen-talmente, al fuerte impulso de la India como país importador con más de la mitad de las autorizaciones (67).

En el continente africano las transferencias internacionales se fo-calizan en Marruecos (19) y la Republica Sudafricana (3). Y Australia apunta como destino emergente con un fuerte crecimiento en 2009.

La brecha entre las transferencias de responsable a responsable y las que tienen como finalidad externalizar la prestación de servicios en terceros países sigue aumentando a favor de estos últimos que constituyen el 87,5% del total.

Las primeras se circunscriben prácticamente a la gestión adminis-trativa de recursos humanos. En la deslocalización de servicios en terceros países los principales objetivos son la teleoperación y el alojamiento de información en servidores hosting.

Los principales exportadores de datos que solicitan autorización se concentran en los sectores bancario, asegurador y de telecomuni-caciones.

El incremento creciente de los flujos internacionales de datos se aprecia, también, en los nuevos ficheros de titularidad privada ins-critos en el RGPD, que declaran este tipo de operaciones sin estar sujetas a autorización. En 2009 han sido 539 los ficheros inscritos con un incremento del 25%.

Los principales sectores de actividad en que operan las entidades exportadoras de datos son telecomunicaciones, energía, servicios informáticos, banca, industria química y farmacéutica, y publicidad directa.

La búsqueda de procedimientos más flexibles para la autorización de transferencias internacionales ha avanzado en 2009. La AEPD autorizó la primera transferencia basada en cláusulas corporativas vinculantes (BCR) y ha participado a través de un procedimiento co-ordinado en diez solicitudes con esta modalidad de garantías pre-sentadas ante otras Autoridades de la Unión Europea.

Los trabajos para adoptar una nueva Decisión de la Comisión que facilite la transferencia internacional de datos a prestadores de ser-vicios y, especialmente, la subcontratación a terceros países, se ul-timaron en 2009. La Decisión ha sido finalmente adoptada en febrero de 2010.

Como conclusión, puede afirmarse que asistimos a un incremento constante de flujos internacionales de datos con un gran peso de la deslocalización de servicios y con procedimientos más flexibles de autorización.

De lo que se desprende la urgencia de alcanzar unos estándares vin-culantes para garantizar la protección de la privacidad en un mundo globalizado.

36


< índIcE >

37

MEMORIA 2009

4. 2009. MADriD, cApitAL MUnDiAL De LA privAciDAD. LA resoLUción De MADriD: Un pUnto De encUentro pArA UnA regULAción gLoBAL

La AEPD organizó en 2009 la 31ª Conferencia Internacional de Auto-ridades de Protección de Datos y Privacidad, el mayor foro dedicado a la privacidad a nivel mundial y punto de encuentro privilegiado en-tre autoridades de protección de datos y garantes de la privacidad de todo el planeta, así como de representantes de entidades públicas y privadas y de la sociedad civil. Durante una semana, en concreto la comprendida entre el 2 y el 6 de noviembre, España se convirtió en el centro mundial de la privacidad.

Con más de mil asistentes provenientes de 83 países, esta edición de la Conferencia ha sido la más concurrida en sus treinta años de historia, y la más exitosa en palabras de muchos de sus participan-tes. Inaugurada por SS.AA.RR. los Príncipes de Asturias, se desarro-lló en el Palacio de Congresos de Madrid, bajo el lema “Privacidad: hoy es mañana”. Entre los casi cien ponentes, repartidos en veinte sesiones, destacaron el ministro de Interior español, Alfredo Pérez Rubalcaba y la secretaria de Seguridad Nacional de los Estados Uni-dos, Janet Napolitano; Martin Cooper (Premio Príncipe de Asturias 2009 de Investigación Científica y Técnica e inventor del teléfono mó-vil), Vinton Cerf (Premio Príncipe de Asturias 2007 de Investigación Científica y Técnica y co-inventor de la familia de protocolos de Inter-net TCP/IP) y Adi Shamir (co-inventor del algoritmo de cifrado RSA), así como el ministro de Industria, Comercio y Nuevas Tecnologías de Marruecos, Ahmed Reda Chami.

Como en años anteriores, la Conferencia abordó aquellas cuestiones que, por su relevancia o novedad, formaron parte de la agenda inter-nacional en materia de protección de datos. La evolución de Internet, la globalización y las nuevas técnicas publicitarias compartieron es-pacio con la seguridad, el periodismo ciudadano y la privacidad en el puesto de trabajo; temas, todos ellos, tratados desde una triple óptica: académica, económica y social.

No obstante, el mayor logro de esta edición se deriva de la consecu-ción de su objetivo prioritario: avanzar hacia un instrumento legal, universal y vinculante en materia de privacidad, que contribuya a una mayor protección de los derechos y libertades individuales en un mundo globalizado y que cuente con el más amplio consenso institu-cional y social. Mediante la adopción de la denominada “Resolución

de Madrid”, la Sesión Cerrada de la Conferencia acogió con satisfac-ción el primer gran paso en esta línea: la “Propuesta conjunta para la Redacción de Estándares Internacionales para la Protección de la Privacidad en relación con Tratamiento de Datos de Carácter Perso-nal”, instó a todas las autoridades participantes a darle la máxima difusión a nivel tanto nacional como internacional, y marcó una es-trategia para impulsarla y evaluar su difusión.

La Propuesta Conjunta pretende, por una parte, promover inter-nacionalmente el derecho a la protección de datos y la privacidad, ofreciendo un modelo de regulación que garantice un alto nivel de protección y que, al mismo tiempo, pueda ser asumido en cualquier país, con las mínimas adaptaciones que sean necesarias en función de las diversas culturas jurídicas, sociales o económicas propias de cada región. Del mismo modo, la Propuesta busca facilitar el flujo de datos personales a nivel internacional, tratando de mitigar los obs-táculos y retrasos existentes, que implican costes adicionales para las empresas y generan desequilibrios desde el punto de vista de la competencia.

Pese a no tratarse de un acuerdo internacional ni de una normativa jurídicamente vinculante, su valor y relevancia como texto de refe-rencia se derivan de la amplia participación de la comunidad inter-nacional de protección de datos y privacidad en su elaboración, de que recoge elementos que están presentes en todos los sistemas vi-gentes de protección de datos actualmente en vigor y de que ha sido respaldada por todas las Autoridades integrantes de la Conferen-cia Internacional. De este modo, la propuesta se configura no sólo como la base para la futura elaboración de un Convenio universal vinculante, sino como una herramienta de indudable utilidad para el desarrollo normativo e institucional en aquellos países en los que la protección de datos no se encuentre todavía convenientemente implementada.

Respondiendo al mandato contenido en la Resolución de Madrid, la promoción y difusión de este texto entre entidades privadas, exper-tos y organismos públicos nacionales e internacionales, será una de las prioridades de la AEPD durante el año 2010.

< índIcE >

B. progrAMA De estocoLMo

El programa de Estocolmo sobre el Espacio Europeo de Libertad, Seguridad y Justicia fue aprobado en la última reunión del Consejo de Ministros de la Presidencia Sueca de la Unión Europea, el 12 y 13 de diciembre. Con este Programa se fija la agenda de justicia e interior para los próximos cinco años, centrada en el terrorismo, la seguridad informática, la delincuencia organizada y el control fron-terizo entre otros temas de interés y sustituye al anterior “Programa de la Haya”, cuya vigencia expiró en diciembre.

En el Programa se reconoce la protección de los derechos funda-mentales, y en particular, como uno de los aspectos clave, la protec-ción de los datos personales. El Programa de Estocolmo asimismo establece que la UE debe contar con un único sistema de protección de datos personales que incluya un modelo de certificación europea para las tecnologías, productos y servicios que protejan la intimidad.

En la misma línea, la Conferencia Europea Autoridades de Protección de Datos, celebrada en Edimburgo en abril de 2009, llegó a la conclu-sión de la necesidad de revisar el marco europeo de protección de da-tos, y la necesidad de analizar la legislación en un mundo globalizado y en el que el uso de Internet y el desarrollo del comercio electrónico y gobierno electrónico se centra en la información personal.

c. FUtUro De LA privAciDAD

La previsible repercusión, sobre el marco legal europeo en materia de protección de datos, de la entrada en vigor del Tratado de Lisboa y del Programa de Estocolmo, se pone de manifiesto en la puesta en marcha por parte de la Comisión Europea de un ambicioso proyecto, encaminado a analizar los futuros avances en el desarrollo de este derecho fundamental. Ambos textos, unidos a la preocupación por el impacto que la globalización y las nuevas tecnologías están teniendo sobre la privacidad, serán piezas claves en este proceso, iniciado en

38


5. cLAves pArA eL DesArroLLo De Un nUevo MArco eUropeo De privAciDAD

A. trAtADo De LisBoA

El Tratado de Lisboa, firmado el 13 de diciembre de 2007, entró en vigor el pasado 1 de diciembre de 2009 tras su ratificación por todos los Estados miembros. Este Tratado incluye la Carta de los Dere-chos Fundamentales de la Unión Europea que reconoce, refuerza y hace vinculantes los derechos, libertades y principios de los Estados miembros de la Unión Europea. La Carta contiene dos artículos en materia de privacidad y protección de datos que marcan una impor-tante consolidación de la legislación de protección de datos de la Unión Europea.

El Tratado de Lisboa, entre otras novedades, también extingue el sistema de pilares de la Unión Europea, creando un marco común para todas las actividades de la Unión aboliendo la antigua división. Este cambio de estructura se refleja también en el ámbito de la pro-tección de datos. Hasta ahora, si bien la protección de datos gozaba de armonización en el ámbito del primer pilar de la Comunidad Eu-ropea con las Directivas 1995/46/CE y 2002/58/CE, no era así en las actividades llevadas a cabo en el marco del tercer pilar, el relativo a la cooperación policial y judicial en materia penal, donde la materia había sido regulada separadamente en virtud de una Decisión Marco adoptada en fecha tan tardía como 2008.

Además, marca la necesidad de una supervisión independiente y de-sarrolla instrumentos para proveer una mayor protección de datos de manera homogénea a través de las diferentes actividades de la Unión Europea, y con una mayor participación del Parlamento Euro-peo, también con respecto a los acuerdos internacionales.

El nuevo marco jurídico de la Unión Europea es un reto para las au-toridades de protección de datos, que tendrán que revisar las nor-mas en vigor y asesorar a los legisladores en la toma de decisiones en los nuevos campos de actividad.

< índIcE >

39

MEMORIA 2009

mayo mediante la celebración de una Conferencia en Bruselas: “Da-tos personales: ¿mayor uso, mayor protección?”, al que siguió una consulta pública sobre el marco legal de este derecho fundamental.

Las Autoridades de Protección de Datos, que forman parte del Grupo de Trabajo del Artículo 29 han mostrado en todo momento su interés en participar activamente, como actor especialmente cualificado, en este proceso de consulta. Para ello, ha elaborado un documento que plasmara su posición ante los diferentes retos a que se enfrenta la protección de datos en Europa. En dicho documento, “Futuro de la Privacidad: Contribución conjunta a la consulta de la Comisión Euro-pea sobre el marco jurídico para el derecho fundamental a la protec-ción de datos personales”, las Autoridades Europeas, y entre ellas la AEPD, coinciden en señalar que la validez de los principios básicos recogidos en la actual legislación en materia de protección de da-tos está fuera de toda duda, a pesar de los cambios institucionales, tecnológicos y sociales a los que estamos asistiendo. No obstante, también opinan que el marco jurídico actual puede ser mejorado en lo relativo a su aplicación práctica, en especial en lo tocante a los siguientes puntos:

Clarificación de los conceptos y principios ya existentes, basada en la experiencia resultante de su aplicación.

Introducción de nuevos principios, como la noción de privacidad desde el diseño privacy by design.

Modernización de las disposiciones de la Directiva 95/46/CE, a los efectos de mejorar la efectividad en su aplicación práctica.

Aplicación de los principios de la protección de datos a los asun-tos relativos a la cooperación judicial y policial.

Una definición más clara de los criterios establecidos para consi-derar que una transferencia internacional de datos se realiza ofre-ciendo las garantías adecuadas, prestando especial atención a la Propuesta Conjunta de Estándares Internacionales de Privacidad.

Con vistas a analizar las aportaciones recibidas como respuesta a la consulta de la Comisión, durante 2010 se convocará un grupo de expertos que emitirá un informe en el que expondrán las posibles mejoras que, en su opinión, deberían introducirse en la legislación comunitaria en materia de protección de datos.

< índIcE >

los usuarios. Entre ellas, la prohibición de utilizar la información publicada para finalidades no previstas, o la necesidad de que los proveedores configuren la red para que los perfiles ofrezcan acceso limitado por defecto.

B. cóDigo De privAciDAD De LA AgenciA MUnDiAL AntiDopAje

La elaboración, por parte de la Agencia Mundial Antidopaje (WADA-AMA), de unos estándares en privacidad y protección de datos des-tinados a cubrir los tratamientos realizados en la lucha contra el dopaje, fue otro de los asuntos abordados por el Grupo del Artículo 29. En su Dictamen 4/2009 realiza un segundo análisis de la ade-cuación al derecho comunitario de estos estándares, que ya habían sido sometidos al parecer del GT29 en verano de 2008, y que fueron aprobados sin recoger muchas de las preocupaciones manifestadas entonces por el Grupo de Trabajo.

El documento reconoce los esfuerzos realizados por WADA-AMA de cara a la mejora del texto, pero concluye que la versión finalmente adoptada requeriría de una serie de mejoras en aspectos como:

La presumible falta de libertad de los deportistas a la hora de consentir el tratamiento de sus datos, en el marco de controles antidopaje.

Los periodos de conservación de los datos de los análisis realiza-dos.

La inexistencia de un procedimiento eficaz de control del cumpli-miento del estándar.

Tras una serie de reuniones, celebradas tanto en el seno del propio GT29 como a instancias del Consejo de Europa, WADA-AMA adoptó en el mes de mayo una nueva versión de sus estándares, incorpo-rando gran parte de las sugerencias contenidas en el dictamen del GT29. Las diferentes mejoras introducidas, fruto de un arduo proce-

40


A. reDes sociALes onLine

En el mes de junio, el Grupo de Trabajo del Artículo 29 (GT29) aprobó la Opinión sobre redes sociales on-line. La finalidad de esta opinión es establecer criterios para adaptar los servicios que operan de for-ma global a los requisitos de la legislación de protección de datos de la Unión Europea. Entre otras cuestiones, la Opinión distingue bajo qué circunstancias puede considerarse que los usuarios se encuen-tran en una mera actividad personal o familiar, y por tanto, no suje-tos a las obligaciones en materia de protección de datos, o cuando pueden adquirir responsabilidad por la información publicada.

En ese sentido el GT29 ha considerado que no se aplicará la excep-ción doméstica y por tanto se aplicarán las leyes de protección de datos en las siguientes situaciones: Cuando la red social on-line se utilice como una plataforma de colaboración para una asociación o una empresa, o cuando el acceso a la información del perfil vaya más allá de los contactos elegidos. En particular, cuando todos los miembros que pertenecen a la red social puedan acceder a un perfil o cuando sea posible acceder a los datos usando motores de bús-queda, se considera que el acceso sobrepasa el ámbito. Por último, la aplicación de la exención doméstica se ve también limitada por la necesidad de garantizar los derechos de los terceros, especialmente por lo que se refiere a los datos sensibles en el ámbito personal o doméstico. En los casos en que la exención domestica no resulta aplicable, los propios usuarios pueden ser responsables por incum-plimiento de la LOPD.

Por otro lado, el GT29 apunta que los proveedores de servicios de redes sociales y, en muchos casos, quienes desarrollan aplicaciones para ellas son responsables por los datos personales que manejan, y, en ese sentido, tienen una responsabilidad para con los usuarios. En este contexto, considera que deben aplicarse todas las medidas necesarias dirigidas a proteger de forma adecuada la información publicada en sus plataformas.

El documento incluye una serie de recomendaciones dirigidas a los proveedores, que están encaminadas a reforzar los derechos de

6. recientes DesArroLLos internAcionALes

< índIcE >

41

MEMORIA 2009

so de negociación fomentado por el Consejo Superior de Deportes, contribuyeron a su mejor adaptación a los niveles de protección exi-gidos por la normativa española y comunitaria, y en consecuencia a una mayor protección de los datos empleados para la prevención del dopaje a nivel global.

c. opinión soBre LA MoDiFicAción De LA DirectivA 2002/58/ce

El pasado 4 de noviembre, y tras años de negociaciones, se llegó a un acuerdo sobre la reforma del paquete de telecomunicaciones, que culminó con la aprobación de las Directivas 2009/136/CE y 2009/140/EC y el Reglamento (CE) Nº 1211/2009. Los Estados miembros tie-nen un plazo de 18 meses para su transposición.

De forma previa a la aprobación de la Directiva, el GT29 formuló el Dictamen 1/2009 sobre las propuestas que modifican la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones elec-trónicas (Directiva sobre la privacidad y las comunicaciones electró-nicas) en la que realizaba una serie de observaciones respecto de las Enmiendas del Parlamento, los comentarios de la Comisión y el Acuerdo del Consejo. El documento expresaba su inquietud sobre otros asuntos, como la notificación por infracciones de seguridad y su ampliación a los servicios de la sociedad de la información, tipos de infracciones que han de notificarse, personas a quien pueden no-tificarse esas infracciones o la afirmación de que los datos de tráfico están sometidos a la legislación sobre protección de datos.

La Directiva 2009/136/CE modifica las Directivas 2002/22/CE (Direc-tiva sobre servicio universal) y 2002/58/CE (Directiva sobre la pri-vacidad y las comunicaciones electrónicas), armonizando de esta forma las disposiciones necesarias para garantizar un nivel equiva-lente de protección de los derechos y las libertades fundamentales en los estados miembros y, en particular, del derecho a la intimidad y a la confidencialidad, en lo que respecta al sector de las comuni-caciones electrónicas. Asimismo aboga por la adopción de medidas destinadas a garantizar que los equipos terminales estén fabricados de manera que protejan los datos personales y la intimidad, estando estas medidas obligadas a respetar el principio de neutralidad con respecto a la tecnología.

Además, la citada Directiva se aprueba reflejando en su articulado el espíritu cambiante de las nuevas tecnologías, dejando abierta la posibilidad de que en un futuro surjan nuevos retos. La Directiva rea-liza cambios sobre cuatro puntos, que se enumeran a continuación.

Reforzar los poderes de enforcement para las autoridades de protección de datos nacionales.

Seguridad: Obligación de notificar las violaciones de datos per-sonales.

Reforzar la protección contra la interceptación de las comuni-caciones a través de la introducción de cookies o spyware en los ordenadores de los usuarios, así como la necesidad de prestar consentimiento informado para la introducción de “cookies”.

Posibilidad de que cualquier persona afectada por el envío de comunicaciones no solicitadas por vías electrónicas spam, inclu-yendo a los proveedores de servicios de Internet, pueda llevar a cabo medidas legales efectivas en contra de los responsables del envío de dichas comunicaciones.

D. LA reD iBeroAMericAnA De protección De DAtos

La actividad de la Red Iberoamericana de Protección de Datos se ha centrado en el desarrollo de las líneas estratégicas marcadas en el VI Encuentro de 2008.

Desde el punto de vista organizativo en el mes de mayo se celebró en Cartagena de Indias una reunión del Comité Ejecutivo de la Red Iberoamericana y se ha diseñado el sitio web específico de la Red www.redipd.org, que está operativo desde noviembre de 2009.

El intercambio de información entre instituciones y empresas y la aper-tura de la Red a terceros países que no pertenecen al entorno iberoame-ricano se ha impulsado con la celebración en Cartagena de Indias del I Seminario Euro-Iberoamericano de Protección de Datos dedicado al aná-lisis de los problemas relacionados con la protección de los menores.

< índIcE >

El desarrollo de acciones para promover la adopción de normas de protección de datos en países iberoamericanos y facilitar su ade-cuación en el ámbito europeo se ha traducido en la visita a la AEPD de una delegación del Gobierno y el Consejo de la Transparencia chilenos, de una delegación del Gobierno brasileño integrada por los Ministerios de Justicia, Interior y Economía y Hacienda y en un intercambio de informaciones con la Embajada de Guatemala en Madrid.

Junto a estas actividades el acontecimiento más relevante de parti-cipación de la Red Iberoamericana en la comunidad internacional de protección de datos y de la privacidad ha sido la celebración del VII Encuentro de la Red en las jornadas previas a la celebración de la 31 Conferencia internacional. Su convocatoria en Madrid ha permi-tido, por primera vez, mantener una presencia amplia de los países iberoamericanos en el más importante foro mundial sobre la ma-teria. La presencia de estos países ha posibilitado su intervención en diversas sesiones de la Conferencia y ha supuesto un punto de apoyo en la promoción de la Propuesta de Estándares internaciones de protección de datos.

Esta presencia fuera del entorno iberoamericano se ha completa-do con la participación de la Red en calidad de observadora en las reuniones del Consejo Consultivo del Convenio 108 del Consejo de Europa a partir del mes de marzo de 2009.

Desde una perspectiva bilateral la Agencia ha participado en el de-bate sobre la interrelación entre los derechos de acceso a la infor-mación pública y la protección de datos en las jornadas sobre trans-parencia celebradas en México D.F., en reuniones con Institutos de acceso a la información pública de México, en visitas institucionales a la AEPD y mediante la celebración de convenios con algunas de los citados institutos.

42


Con ocasión del VII Encuentro Iberoamericano, la Red dio un salto cualitativo en sus relaciones institucionales con la celebración de una reunión conjunta con la Asociación Francófona de Autoridades de Pro-tección de Datos a la que asistieron representantes de 26 países, así como de la Comisión Europea y del Supervisor Europeo de Protección de Datos.

El encuentro, que culminó con una declaración conjunta suscrita por la Red Iberoamericana y la Asociación Francófona, constituye un pri-mer paso de colaboración entre organizaciones regionales que favo-recerá la sensibilización y la cooperación en materia de protección de datos en un entorno globalizado.

La colaboración institucional se ha manifestado, adicionalmente, en la participación de la AEPD en el Sexto Seminario Nacional e Inter-nacional celebrado en Buenos Aires bajo la rúbrica “la Protección de Datos personales: Éxitos e Innovaciones en el Bicentenario de la República Argentina”, así como en las X Jornadas Académicas Inter-nacionales que tuvieron lugar en Montevideo y en el lanzamiento de la Unidad Reguladora y de Control de Datos de Uruguay organizado por la Agencia para el Desarrollo del Gobierno de Gestión Electróni-ca y Sociedad de la Información (AGESIC) de dicho país.

< índIcE >

Las Agencias Autonómicas han participado activamente con la AEPD en la elaboración de la “Propuesta Conjunta para la redacción de Estándares Internacionales para la Protección de la Privacidad en relación con el tratamiento de datos de carácter Personar” presen-tada en la sesión cerrada de la Conferencia.

Asimismo colaboraron en la celebración de las reuniones preparato-rias de los grupos de expertos y de trabajo de la elaboración y debate de la Propuesta celebradas en Barcelona y Bilbao, organizadas con-juntamente con la Agencia de Protección de Datos de Cataluña y la Agencia Vasca de Protección de Datos, respectivamente.

Durante la celebración de la 31ª Conferencia Internacional las Agen-cias Autonómicas aportaron su presencia institucional y sus direc-tores intervinieron como ponentes en diversas sesiones de trabajo y manifestaron su apoyo a la Propuesta de Estándares Internacionales en la sesión cerrada en la que fueron adoptados.

43

MEMORIA 2009

La cooperación entre las Agencias de Protección de Datos es la base para garantizar la igualdad en la protección de la información perso-nal de los ciudadanos, cualquiera que sea el lugar en que se traten sus datos.

El intercambio de información entre los Registros de ficheros de cada Agencia es fluido a través de los protocolos establecidos que incor-poran las novedades del Reglamento de desarrollo de la LOPD.

En el ámbito de la inspección, las Agencias han compartido la pre-ocupación sobre el ejercicio de derechos ante los responsables de servicios de buscador en Internet y ante los responsables de las edi-ciones electrónicas de diarios y boletines oficiales, ante la creciente casuística planteada. Es destacable también el intercambio de crite-rios sobre la vulneración de las medidas de seguridad y del deber de secreto en los casos de documentación encontrada en la vía pública, cuando están implicadas varias administraciones.

La colaboración entre las Agencias en 2009 ha tenido como principal hito la celebración en Madrid de la 31ª Conferencia Internacional de Protección de Datos y de la Privacidad.

7. cooperAción con LAs AgenciAs AUtonóMicAs De protección De DAtos

< índIcE >

RECOMENDACIONES

< índIcE >

A. RECOMENDACIONES NORMATIVAS

Modificar la normativa reguladora del DNI-e para que los me-nores puedan autenticarse electrónicamente aunque no firmar electrónicamente.

RECOMENDACIONES

B. RECOMENDACIONES EJECUTIVAS

Extremar las precauciones en el ejercicio de las labores de reco-bro de morosos para la plena salvaguardia del secreto profesio-nal sobre los datos de los presuntos deudores que evite compor-tamientos impropios de comunicación de la deuda a compañeros de trabajo, vecinos u otros allegados mediante contacto telefóni-co, envío a faxes u otros métodos.

Potenciación por los Colegios Profesionales de mecanismos que permitan el depósito de datos de los afectados en caso de falle-cimiento o desaparición de los responsables de fichero corres-pondientes a su ámbito profesional.

La inclusión en los planes de estudio de primaria y secundaria de formación sobre protección de datos, privacidad e Internet, así como la puesta a disposición de los alumnos por parte de las Administraciones Públicas y los centros educativos de he-rramientas informáticas que eviten el acceso de los menores de 14 años a servicios de Internet para los que deban contar con el consentimiento de sus padres o representantes legales.

47

MEMORIA 2009

< índIcE >

LA AgENCIA EN CIFRAS

< índIcE >

1. inspección

50

LA AGENCIA EN CIFRAS

ActUAciones previAs y tUteLAs De DerecHos iniciADAs

* Las cifras incluyen procedimientos AT (admisión a trámite, solicitudes de mejora de la solicitud no subsanada), AR (acuerdo de no inicio de PS) y EI (actuaciones de inspección incoadas).

TIPO

Tutela de los derechos de acceso, rectificación, cancelación y oposición

Actuaciones previas de inspección*

(iniciadas a partir de denuncia o a iniciativa del Director)

TOTAL

% VAR. 2008/2009

+11,50

+75,11

+48,60

2007

896

1.624

2.520

2008

1.687

2.362

4.049

2009

1.881

4.136

6.017

resoLUciones

PROCEDIMIENTOS DE LA INSPECCIÓN DE DATOS

Reclamaciones de tutela de los derechos de acceso, rectificación, cancelación y oposición (capitulo II)

Procedimientos relativos al ejercicio de la potestad sancionadora (capítulo III)

Archivo de actuaciones previas

Procedimientos sancionadores resueltos

Resolución sancionadora

Resolución de archivo

Procedimientos de infracción LOPD de las AAPP

declaración de infracción

declaración de no infracción

TOTAL RESOLUCIONES

% VAR. 2008/2009

+58,42

+61,43

+81,70

+12,54

+16,07

-7,37

+12,66

+20,34

-10

+60,42

2007

849

1.246

781

399

342

57

66

49

17

2.095

2008

1.229

2.419

1.710

630

535

95

79

59

20

3.648

2009

1.947

3.905

3.107

709

621

88

89

71

18

5.852

< índIcE >

51

MEMORIA 2009

< índIcE >

sAnciones iMpUestAs

51

MEMORIA 2009

TOTAL

% VAR. 2008/2009

+12,99

2007

17.584.198,42 €

2008

22.013.632,57 €

2009

24.872.979,72 €

sAnciones iMpUestAs segÚn LA grAveDAD 2009

Grave

Leve

Muy grave

74,02%

21,35%4,63%

sAnciones iMpUestAs segÚn Ley inFringiDA 2009

LOPD

LSSI

LGT

92,84%

5,76% 1,40%

La tabla recoge el total de sanciones declaradas.

< índIcE >

52


< índIcE >

ACTIVIDAD

Telecomunicaciones

Entidades financieras

Videovigilancia

Administración pública

Comunicaciones electrónicas comerciales – spam (LSSI)

Profesionales, comunidades de propietarios, administración de fincas

Servicios de Internet

Comercio, transporte y hostelería

Sanidad

Recursos humanos, asuntos laborales, mutuas

Asociaciones, federaciones, colegios profesionales, ONG’s, fundaciones, clubes

Suministro y comercialización de gas, electricidad y agua

Publicidad y prospección comercial (excepto spam)

Medios de comunicación

Seguros

Enseñanza

Fuerzas y cuerpos de seguridad

Envío de comunicaciones comerciales por fax (LGT)

Sindicatos

Partidos políticos

Seguridad privada

Procedimientos judiciales

Otros

TOTAL

2009

908

768

721

218

180

160

156

137

123

120

119

53

52

51

47

34

32

25

24

15

10

3

180

4.136

2008

454

382

365

122

147

87

104

117

75

110

55

40

40

23

27

22

40

38

30

15

5

-

67

2.362

% relativo

21,95

18,57

17,43

5,27

4,35

3,87

3,77

3,31

2,97

2,90

2,88

1,28

1,26

1,23

1,14

0,82

0,77

0,60

0,58

0,36

0,24

0,07

4,35

100

ActUAciones previAs iniciADAs por sectores


53

MEMORIA 2009

< índIcE >

proceDiMientos sAncionADores resUeLtos por sector De ActiviDAD

ACTIVIDAD

Telecomunicaciones

Videovigilancia


Comunicaciones electrónicas comerciales – spam (LSSI)

Publicidad y prospección comercial (excepto spam)

Asociaciones, federaciones, colegios profesionales, ONG’s,

fundaciones, clubes

Comercio, transporte, hostelería


Profesionales, comunidades de propietarios,

administración de fincas



Comunicaciones comerciales por fax (LGT)

Seguros

Sindicatos

Sanidad

Partidos políticos

Administración Pública (entidades de derecho privado)

Enseñanza

Informaciones publicadas en medios de comunicación

Otros

TOTAL

2007

112

6

80

37

29

11

19

22

10

2

6

2

4

5

4

2

0

5

1

42

399

2008

203

44

127

46

26

11

39

13

13

9

13

9

6

8

10

6

3

1

2

41

630

2009

182

145

100

46

28

24

23

21

19

18

17

12

10

9

8

7

5

5

2

28

709

% VAR. 2008/2009

-10,34

+229,55

-21,26

0

+7,69

+118,18

-41,03

+61,54

+46,15

+100

+30,77

+33,33

+66,67

+12,50

-20

+16,67

+66,67

+400

0

-31,71

+12,54

% relativo

25,67

20,45

14,10

6,49

3,95

3,39

3,24

2,96

2,68

2,54

2,40

1,69

1,41

1,27

1,13

0,99

0,71

0,71

0,28

3,95

100

Se incluyen procedimientos que finalizan con archivo o sanción.

54


< índIcE >

ACTIVIDAD

Telecomunicaciones

Videovigilancia


Comunicaciones electrónicas comerciales - spam (LSSI)

Publicidad (excepto spam)

Comercio, transporte y hostelería


Asociaciones, federaciones, colegios profesionales, ONG’s, fundaciones, clubes



Profesionales, comunidades de propietarios, administración de fincas

Envío de comunicaciones comerciales por fax (LGT)

Seguros

Sanidad

Administración pública (entidades de derecho privado)

Enseñanza

Partidos políticos

Sindicatos

Medios de comunicación

Otros

TOTAL

2009

170

117

89

39

24

22

21

20

17

16

15

11

8

6

5

5

5

4

2

25

621

2008

190

27

111

39

22

31

11

10

5

10

10

7

5

9

2

1

6

5

3

31

535

% relativo

27,38

18,84

14,33

6,28

3,86

3,54

3,38

3,22

2,74

2,58

2,42

1,77

1,29

0,97

0,81

0,81

0,81

0,64

0,32

4,03

100

resoLUciones sAncionADorAs por sector De ActiviDAD

Resoluciones que finalizan con imposición de sanción.


55

MEMORIA 2009

< índIcE >

TIPO ADMINISTRACIÓN

Autonómica

Local

Otras Entidades de Derecho Público

Estatal

TOTAL

2007

16

28

-

22

66

2008

21

32

5

21

79

2009

29

22

21

17

89

% VAR. 2008/2009

+38,10

-31,25

+320

-19,05

+12,66

% relativo

32,58

24,72

23,60

19,10

100

proceDiMientos De DecLArAción De inFrAcción De LAs ADMinistrAciones pÚBLicAs resUeLtos

TIPO ADMINISTRACIÓN

Local

Autonómica

Estatal

Otras Entidades de Derecho Público

TOTAL

2009

18

24

13

16

71

% VAR. 2008/2009

25,35

33,80

18,31

22,54

100

inFrAcciones De LAs ADMinistrAciones pÚBLicAs

Se incluyen procedimientos que finalizan con archivo o declaración de infracción de las AAPP.

Resoluciones que finalizan con declaración de infracción de las AAPP.

56


< índIcE >

tUteLAs De DerecHos resUeLtAs

Cancelación

Acceso

Rectificación

Oposición

Varios derechos

TOTAL

Estimatoria

204

92

-

58

1

355

EstimatoriaFormal-Parcial

51

136

-

27

21

235

Desestimat.

551

90

18

40

6

705

Archiv.Inadmitida

557

58

4

2

14

635

Desistim.

3

14

-

-

-

17

Total

1.366

390

22

127

42

1.947

RESOLUCIÓNDERECHOS TUTELADOS


57

MEMORIA 2009

< índIcE >

DistriBUción geogrÁFicA De LAs DenUnciAs (provinciA DeL DenUnciAnte)

Las Palmas 128

Santa Cruz de Tenerife 76

Sevilla 133

Málaga 99

Cádiz 70

Granada 69

Jaén 37

Almería 37

Córdoba 36

Cuenca 6Toledo 54

Huesca 13

Lugo 25

Ourense 24Navarra 59

Girona 39

Lleida 14

Álava 38

Vizcaya 67Asturias 104

Cantabria 54

Teruel 4

Zaragoza 100

Huelva 23

TOTAL 4.073

Ávila 5

Burgos 31

León 53

Palencia 8

Salamanca 40Guadalajara 30

Valladolid 57

Zamora 11

Segovia 12

Soria 3

Albacete 25

Ciudad Real 43

Illes Balears 78

Barcelona 364

Guipúzcoa 19

Tarragona 30

La Rioja 27

Ceuta 7

Melilla 5

Madrid 1.208

Alicante 103

Castellón 35

Valencia 194

Cáceres 19

Badajoz 33

A Coruña 157

Pontevedra 74

Murcia 93

58


< índIcE >

DistriBUción geogrÁFicA De Los proceDiMientos sAncionADores

Las Palmas 6


Sevilla 11

Málaga 11

Cádiz 3

Granada 3

Jaén 3

Almería 3

Córdoba 4

Cuenca 1Toledo 1

Huesca 2

Lugo 1

Ourense 2Navarra 2

Girona 4

Lleida 1

Álava 3


Cantabria 6

Zaragoza 9

Huelva 1

TOTAL 709

Ávila 2

Burgos 4

León 3

Palencia 2

Salamanca 1

Valladolid 6 Soria 1

Albacete 2

Ciudad Real 3

Illes Balears 8

Barcelona 60

Guipúzcoa 3

Tarragona 3

La Rioja 2

Madrid 452

Alicante 6

Castellón 3

Valencia 17

Badajoz 4

A Coruña 8

Pontevedra 8

Murcia 3


59

MEMORIA 2009

< índIcE >

DistriBUción geogrÁFicA De Los proceDiMientos De DecLArAción De inFrAcción De LAs AApp

Las Palmas 3


Sevilla 9

Málaga 6

Almería 1

Toledo 3

Lugo 1

Navarra 2

Asturias 1

Cantabria 2

Zaragoza 3

TOTAL 89

León 2

Palencia 1

Segovia 1

Albacete 1

Ciudad Real 3

Illes Balears 2

Barcelona 1

Tarragona 1

La Rioja 3

Madrid 24

Valencia 5

Badajoz 1

A Coruña 9

Pontevedra 1

Murcia 2

60


< índIcE >

DistriBUción geogrÁFicA De proceDiMientos iniciADos De tUteLA De DerecHos (provinciA DeL recLAMAnte)

Las Palmas 27


Sevilla 62

Málaga 51

Cádiz 43

Granada 40

Jaén 16

Almería 22

Córdoba 20

Cuenca 6Toledo 24

Huesca 6

Lugo 9

Ourense 11Navarra 41

Girona 19

Lleida 5

Álava 16


Cantabria 12

Teruel 3

Zaragoza 57

Huelva 6

TOTAL 1.947

Ávila 5

Burgos 11

León 40

Palencia 8

Salamanca 24Guadalajara 13

Valladolid 26

Zamora 4

Segovia 4

Soria 3

Albacete 11

Ciudad Real 15

Illes Balears 22

Barcelona 169

Guipúzcoa 12

Tarragona 18

La Rioja 10

Ceuta 1

Melilla 1

Madrid 541

Alicante 53

Castellón 17

Valencia 105

Cáceres 12

Badajoz 15

A Coruña 55

Pontevedra 46

Murcia 45


61

MEMORIA 2009

< índIcE >

2. gABinete jUríDico

ADMINISTRACIONES PÚbLICAS

Administración General del Estado

Comunidades Autónomas

Entidades Locales

Otros Organismos Públicos

364

174

39

83

68

CONSULTAS PRIVADAS

Empresas

Particulares

Asociaciones/Fundaciones

Sindicatos

Otros

315

224

40

35

14

2

consULtAs

62


< índIcE >

evoLUción De LAs consULtAs (1999-2009)

Sector privado

Sector público

800

700

600

500

400

300

200

100

0

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009

199 371 250 216 312 334 313 299 313 411 315

171 235 294 199 232 253 268 254 242 279 364


63

MEMORIA 2009

< índIcE >

evoLUción por sectores (2008-2009)

2009

2008

Telecomunicaciones y Sociedad Información

Particulares

Asesoría y consultoría

Asociaciones empresariales y profesionales

Sanidad y farmacéuticos

distribución y venta

Servicios Informáticos

Educación y enseñanza

Banca y seguros

Industria y construcción

Agua y energía

Publicidad y prospección

Transporte

0 20 40 60 80 100 120 140

4753

42

41123

22

28

32

15

11

4

4

45

11

14

9

16

18

6

33

23

46

35

6

10

64


< índIcE >

cesión

Telecomunicaciones

consentimiento

Ficheros públicos

Medidas de seguridad

Videovigilancia

Ámbito de aplicación

Encargado del tratamiento

datos de salud

calidad de datos

conceptos generales

deber de informar

Ficheros privados

Padrón

Transferencias internacionales

datos especialmente protegidos

derechos de rectif. y cancel.

Internet

243255

8645

6875

5824

56115

4438

42138

4066

32106

3123

2540

20142

2028

1640

1424

1357

1215

1131

0 50 100 150 200 250 300

2009

2008

evoLUción por MAteriAs (2008-2009)


65

MEMORIA 2009

< índIcE >

evoLUción De inForMes preceptivos A Disposiciones generALes (1999-2009)

inForMes preceptivos (2005-2009)

100

90

80

70

60

50

40

30

20

10

0

1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009

35 21 42 33 47 61 76 73 77 79 100

2005

2006

2007

2008

2009115 105 119 16812176 73 77 79 100

180

160

140

120

100

80

60

40

20

0

disposiciones Rd 424/2005 Total

39 32 42 42 68

66


< índIcE >

sentenciAs De LA AUDienciA nAcionAL

Desestimatorias

Estimatorias

Parcialmente estimatorias

162

61

17

11 1 0 1 301520 16 12 21 202511107 6 5 5 77369 77 83 73 7068

coMpArAtivA sentenciAs De LA AUDienciA nAcionAL

2009

2008

2007

2006

2005

2004

2003

90

80

70

60

50

40

30

20

10

0

desestimatorias Parcialmente estima. Estimatorias Inadmisión del recurso

El gráfico exceptúa las cifras relativas a las sentencias dictadas por la An referidas al ejercicio de cancelación en libros de bautismo.

El gráfico exceptúa las cifras relativas a las sentencias dictadas en 2008 y 2009 por la An referidas al ejercicio de cancelación en libros de bautismo.


67

MEMORIA 2009

< índIcE >

coMpArAtivA sentenciAs AUDienciA nAcionAL por sectores (2008-2009)

925

1817

3

3

8

8

8

7

8

13

1017

1020

22

3829

29

98

69

99

0 20 40 60 80 100 120

Libros de bautismo

Banca y seguros

Telecomunicaciones

Agua y energía

Particulares

distribución y venta

Sindicatos y asociaciones

Publicidad y prospección

Servicios informáticos

Administraciones Públicas

Solvencia patrimonial y crédito

Otros

2009

2008

68


< índIcE >

sentenciAs DeL triBUnAL sUpreMo

No ha lugar (casación de la AEPD)

Ha lugar (casación de la AEPD)

No ha lugar (casación contra AEPD)13

3

3

El gráfico exceptúa las cifras relativas a las sentencias dictadas por el TS referidas al ejercicio de cancelación en libros de bautismo.


69

MEMORIA 2009

< índIcE >

consULtAs Ante eL ÁreA De Atención AL ciUDADAno

3. Atención AL ciUDADAno

Año 2005

Año 2006

Año 2007

Año 2008

Año 2009

Atención telefónica

26.654

27.486

33.908

58.143

77.359

Atención presencial

2.938

2.030

4.185

4.785

4.277

Atención por escrito

5.420

6.323

9.648

9.722

15.587*

Total

35.512

35.839

47.741

72.650

97.223

Porcentaje de incremento

1,53%

0,9%

30,09%

52,17%

33,82%

coMpArAcion De Accesos A LA pÁginA weB con eL AÑo 2008

2009

2.998.276

8.214,4

AñO

Acceso a web

Promedio diario

2008

2.277.065

6.238,5

* En el año 2009, 13.776 consultas escritas se contestaron a través del buzón electrónico [email protected].

70


< índIcE >

TEMAS

1. Información

2. Inscripción ficheros

3. Principios LOPD

4. Otros

5. Ambito de aplicación

6. Cesión

7. Derechos

8. Ficheros concretos

Porcentaje

5,94%

0,16%

4,75%

13,24%

28,27%

1,4%

31,7%

14,43%

TEMAS

1. Acceso

2. Cancelación

3. Rectificación

4. Oposición

5. Información

6. Otras consultas sobre derechos

Porcentaje

20,62%

62,39%

2,42%

8,66%

2,77%

3,11%

AnÁLisis De LAs consULtAs por teMAs 2009

consULtAs soBre DerecHos 2009

23

4

5

6

7

81

1

2

3

45 6


71

MEMORIA 2009

< índIcE >

4. registro generAL De protección De DAtos

2008

818.248

691.144

1.509.392

2009

1.356.216

1.070.173

2.426.389

TITULARIDAD

Privada

Pública

TOTAL

2003

361.675

43.974

405.649

2004

457.490

48.038

505.528

2005

598.916

51.817

650.733

2006

758.955

56.138

815.093

2007

955.713

61.553

1.017.266

2008

1.182.496

85.083

1.267.579

2009

1.552.060

95.696

1.647.756

TITULARIDAD

Privada

Pública

TOTAL

DerecHo De consULtA AL registro

evoLUción De LA inscripción De FicHeros en eL rgpD

Ficheros inscritos

400.000

300.000

250.000

200.000

150.000

100.000

50.000

0

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009

14.04122.666

56.77477.000

99.879

145.205164.360

202.173

250.313

380.177

incremento anual total

72


< índIcE >

Operaciones de inscripción

Total de ficheros inscritos

2008

330.159

1.267.579

2009

512.998

1.647.756

% VAR. 2008/2009

+55

+30

Media diariaen 2008

1.376

1.043

Media diariaen 2009

2.137

1.584

600.000

500.000

400.000

300.000

200.000

100.000

0

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009

27.209 36.968

77.029107.137

141.998

192.570233.796

251.349

330.159

512.998

evoLUción De LA inscripción en eL rgpD

Datos relacionados con la inscripción

incremento anual de las operaciones de inscripción


73

MEMORIA 2009

< índIcE >

Distribución de ficheros

Comunidad Autónoma de Andalucía

Almería

Cádiz

Córdoba

Granada

Huelva

Jaén

Málaga

Sevilla

Comunidad Autónoma de Aragón

Huesca

Teruel

Zaragoza

Comunidad Autónoma del Principado de Asturias

Comunidad Autónoma de Canarias

Las Palmas

Santa Cruz de Tenerife

Comunidad Autónoma de Cantabria

Comunidad Autónoma de Castilla y León

Ávila

Burgos

León

Palencia

Salamanca

Segovia

Soria

Valladolid

Zamora

Total

200.930

21.300

21.449

19.475

36.571

8.646

19.282

37.897

36.310

53.772

10.318

4.166

39.288

61.483

62.700

29.303

33.397

13.363

66.802

3.532

11.982

13.355

5.215

6.783

4.091

2.387

13.489

5.968

2009

66.767

8.290

6.231

6.147

12.409

3.109

7.144

12.869

10.568

11.621

2.456

1.507

7.658

17.392

14.478

6.654

7.824

3.769

22.682

1.101

2.889

4.086

2.225

2.263

1.897

955

3.749

3.517

Total

70.879

7.216

7.516

7.001

11.390

2.567

5.969

16.763

12.872

24.547

4.826

1.784

17.976

19.607

17.822

7.878

9.994

6.232

26.404

1.785

5.134

5.305

2.105

2.744

1.675

872

5.124

1.726

2009

25.709

3.096

2.378

2.487

4.516

953

2.547

5.525

4.306

4.808

922

590

3.303

6.104

4.933

2.238

2.706

1.698

7.912

508

1.077

1.576

799

821

729

275

1.306

826

Responsables Ficheros

inscripción De titULAriDAD privADA

74


< índIcE >

Comunidad Autónoma de Castilla-La Mancha

Albacete

Ciudad Real

Cuenca

Guadalajara

Toledo

Comunidad Autónoma de Cataluña

Barcelona

Girona

Lleida

Tarragona

Comunidad de Madrid

Comunidad Valenciana

Alicante

Castellón de la Plana

Valencia

Comunidad Autónoma de Extremadura

Badajoz

Cáceres

Comunidad Autónoma de galicia

A Coruña

Lugo

Ourense

Pontevedra

Comunidad Autónoma de las Illes balears

Comunidad Foral de Navarra

Comunidad Autónoma del País Vasco

Álava

Guipúzcoa

Vizcaya

Comunidad Autónoma de la Rioja

Comunidad Autónoma de la Región de Murcia

Ciudad Autónoma de Ceuta

Ciudad Autónoma de Melilla

Total

52.141

18.137

10.864

4.642

4.370

14.128

331.897

246.781

39.448

17.426

28.242

238.660

158.515

50.352

20.930

87.233

25.671

4.044

2.579

113.549

46.918

16.149

10.302

40.179

38.002

19.012

60.351

8.097

18.767

33.487

15.335

38.892

737

477

2009

19.777

8.395

2.916

1.387

1.184

5.895

59.931

40.783

8.898

3.083

7.167

54.757

39.837

13.782

4.738

21.317

6.623

4.044

2.579

31.356

14.795

3.986

3.345

9.230

11.645

4.512

13.934

1.346

3.274

9.314

2.487

11.754

178

121

Total

17.227

5.737

3.211

1.935

1.636

4.750

143.657

107.386

17.295

7.340

11.876

101.852

69.876

23.330

8.401

38.222

9.793

6.586

3.221

40.295

17.743

5.925

3.498

13.239

11.667

7.124

23.854

2.999

7.556

13.345

6.190

16.277

279

200

2009

6.800

2.571

1.036

591

460

2.148

23.436

16.506

3.268

1.073

2.599

26.710

16.865

6.307

1.857

8.710

2.563

1.660

906

13.207

6.684

1.647

1.290

3.600

3.919

1.755

6.310

539

1.514

4.260

1.061

5.101

71

49

Responsables Ficheros


75

MEMORIA 2009

< índIcE >

DISTRIbUCIÓN DE FICHEROS SEgÚN TIPOS DE DATOS

Datos especialmente protegidos (ideología, creencias, religión y afiliación sindical)

Otros datos especialmente protegidos (origen racial, salud y vida sexual)

Datos de carácter identificativo

Datos de características personales

Datos de circunstancias sociales

Datos académicos y profesionales

Detalles de empleo y carrera administrativa

Datos de información comercial

Datos económico-financieros

Datos de transacciones

Otros tipos de datos

Total

53.080

237.757

1.552.060

654.735

364.140

351.035

502.947

393.740

895.113

585.756

52.291

2009

14.282

52.944

393.626

165.135

99.139

102.881

120.680

118.645

209.282

172.750

25.533

inscripción De titULAriDAD privADA

76


< índIcE >

DISTRIbUCIÓN DE FICHEROS SEgÚN SU FINALIDAD

Gestión de clientes, contable, fiscal y administrativa

Recursos humanos

Gestión de nóminas

Prevención riesgos laborales

Publicidad y prospección comercial

Videovigilancia

Gestión y control sanitario

Historial clínico

Cumplimiento/incumplimiento de obligaciones dinerarias

Comercio electrónico

Seguridad y control acceso a edificios

Educación

Fines históricos, científicos o estadísticos

Actividades asociativas diversas

Análisis de perfiles

Servicios económico-financieros y seguros

Prestación de servicios de telecomunicaciones

Asistencia social

Seguridad privada

Gestión de asociados o miembros de partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas

y asociaciones, fundaciones y otras entidades sin ánimo de lucro

Guías/repertorios de servicios de telecomunicaciones

Investigación epidemiológica y actividades análogas

Prestación de servicios de solvencia patrimonial y crédito

Prestación de servicios de certificación

Otras finalidades

Total

1.044.968

350.120

258.381

104.327

125.081

33.817

83.415

55.847

34.654

16.957

19.880

24.121

73.761

32.811

15.336

58.517

8.083

6.897

8.171

7.862

2.989

7.181

6.110

1.577

217.657

% sobre total

21,35 %

26,16 %

27,88 %

34,12 %

19,05 %

62,70 %

19,99 %

18,32 %

19,60 %

39,85 %

32,53 %

21,56 %

6,88 %

15,39 %

30,76 %

6,85 %

25,41 %

29,19 %

23,31 %

24,12 %

30,61 %

11,42 %

9,93 %

22,32 %

28,46 %

2009

223.103

91.578

72.049

35.597

23.822

21.202

16.676

10.233

6.792

6.758

6.466

5.201

5.072

5.048

4.717

4.006

2.054

2.013

1.905

1.896

915

820

607

352

61.946


77

MEMORIA 2009

< índIcE >

DISTRIbUCIÓN DE FICHEROS SEgÚN EL SECTOR DE ACTIVIDAD

Comunidades de propietarios

Comercio

Sanidad

Contabilidad, auditoría y asesoría fiscal

Construcción

Turismo y hostelería

Actividades jurídicas, notarios y registradores

Industria química y farmacéutica

Transporte

Educación

Actividades inmobiliarias

Asociaciones y clubes

Servicios informáticos

Actividades relacionadas con los productos alimenticios, bebidas y tabacos

Agricultura, ganadería, explotación forestal, caza y pesca

Maquinaria y medios de transporte

Actividades de servicios sociales

Actividades diversas de servicios personales

Seguros privados

Producción de bienes de consumo

Sector energético

Servicios de telecomunicaciones

Comercio y servicios electrónicos

Actividades políticas, sindicales y religiosas

Actividades de organizaciones empresariales, profesionales y patronales

Seguridad

Publicidad directa

Actividades relacionadas con los juegos de azar y apuestas

Entidades bancarias y financieras

Organización de ferias, exhibiciones, congresos y otras actividades relacionadas

Investigación y desarrollo (I+D)

Inspección Técnica de vehículos y otros análisis técnicos

Selección de personal

Actividades postales y de correo (operadores postales, empresas prestadoras de servicios

postales, transportistas y empresas de actividades auxiliares y complementarias del transporte)

Solvencia patrimonial y crédito

Mutualidades colaboradoras de los organismos de la Seguridad Social

Otras actividades

Total

195.652

170.528

131.145

96.833

64.758

57.841

47.253

46.471

33.714

39.916

66.384

40.901

28.699

22.532

20.015

29.121

15.744

15.773

22.264

16.272

14.050

8.075

4.057

4.669

9.659

5.094

7.631

4.532

12.404

2.006

2.834

1.403

3.527

2.245

896

849

271.291

% sobre total

26,73%

25,98%

23,09%

19,31%

26,44%

29,14%

23,65%

23,46%

31,02%

26,18%

12,11%

18,30%

19,12%

23,40%

24,44%

14,94%

27,13%

26,25%

13,76%

18,50%

19,19%

26,22%

50,38%

42,77%

16,01%

24,64%

15,75%

16,75%

5,22%

29,86%

18,98%

30,22%

10,77%

11,58%

10,94%

5,89%

38,51%

2009

52.297

44.303

30.279

18.698

17.121

16.852

11.176

10.902

10.459

10.450

8.040

7.485

5.487

5.273

4.892

4.350

4.271

4.141

3.064

3.011

2.696

2.117

2.044

1.997

1.546

1.255

1.202

759

648

599

538

424

380

260

98

50

104.463

78


< índIcE >

inscripción De titULAriDAD pÚBLicA

DistriBUción De FicHeros De LA ADMinistrAción generAL

DISTRIbUCIÓN DE FICHEROS POR TIPO DE ADMINISTRACIÓN

Administración General

Administración CC.AA.

Administración Local

Otras personas jurídico-públicas

TOTAL

Total

4.363

17.218

50.615

23.500

95.696

2009

520

3.146

7.056

1.583

12.305

Presidencia del Gobierno

Ministerio de Asuntos Exteriores y de Cooperación

Ministerio de Justicia

Ministerio de Defensa

Ministerio de Economía y Hacienda

Ministerio del Interior

Ministerio de Fomento

Ministerio de Educación

Ministerio de Trabajo e Inmigración

Ministerio de la Presidencia

Ministerio de Política Territorial

Ministerio de Sanidad y Política Social

Ministerio de Medio Ambiente, y Medio Rural y Marino

Ministerio de Industria, Turismo y Comercio

Ministerio de Cultura

Ministerio de Vivienda

Ministerio de Igualdad

Ministerio de Ciencia e Innovación

TOTAL

Ficheros

23

531

41

121

369

192

368

116

1.195

129

164

172

332

246

183

23

29

129

4.363


79

MEMORIA 2009

< índIcE >









Comunidad de Madrid



Comunidad Autónoma de Galicia

Comunidad Autónoma de las Illes Balears



Comunidad Autónoma de La Rioja


Ciudad Autónoma de Ceuta

Ciudad Autónoma de Melilla

TOTAL

Ficheros

1.846

308

296

429

154

741

565

796

8.542

622

354

454

382

142

894

272

329

23

69

17.218

2009

114

23

35

27

61

37

207

57

2.137

56

8

145

156

7

49

15

11

-

1

3.146

DistriBUción De FicHeros De coMUniDADes AUtónoMAs

80


< índIcE >


Almería

Cádiz

Córdoba

Granada

Huelva

Jaén

Málaga

Sevilla


Huesca

Teruel

Zaragoza



Las Palmas

Santa Cruz de Tenerife



Ávila

Burgos

León

Palencia

Salamanca

Segovia

Soria

Valladolid

Zamora

Entidades

729

104

46

77

169

85

86

58

104

500

182

49

269

69

92

39

53

52

595

41

100

200

22

83

17

10

85

37

Ficheros

7.102

1.107

624

680

1.362

1.155

570

589

1.015

4.032

1.403

204

2.425

780

1.072

425

647

508

3.081

407

372

1.112

154

357

88

37

390

164


Ficheros de la administración local


81

MEMORIA 2009

< índIcE >


Albacete

Ciudad Real

Cuenca

Guadalajara

Toledo


Barcelona

Girona

Lleida

Tarragona

Comunidad de Madrid


Alicante

Castellón de la Plana

Valencia


Badajoz

Cáceres

Comunidad Autónoma de galicia

A Coruña

Lugo

Ourense

Pontevedra

Comunidad Autónoma de las Illes balears



Álava

Guipúzcoa

Vizcaya

Comunidad Autónoma de la Rioja


Entidades

409

94

109

85

16

105

825

399

168

150

111

209

442

144

94

205

213

162

51

300

95

63

77

65

79

131

265

50

99

117

37

46

Ficheros

5.657

3.354

687

695

105

816

8.014

4.197

1.826

1.123

868

2.734

5.150

1.726

746

2.678

1.925

1.586

339

2.590

839

488

690

573

1.288

1.193

4.340

392

1.738

2.210

264

885

82


< índIcE >

Cámaras Oficiales de Comercio e Industria

Notariado

Universidades

Colegios Profesionales

Otros

TOTAL

Total

414

7.435

813

1.706

13.132

23.500

DISTRIbUCIÓN DE FICHEROS SEgÚN TIPOS DE DATOS

Datos especialmente protegidos (ideología, creencias, religión y afiliación sindical)

Otros datos especialmente protegidos (origen racial, salud y vida sexual)

Datos relativos a infracciones

Datos de carácter identificativo

Datos de características personales

Datos de circunstancias sociales

Datos académicos y profesionales

Detalles de empleo y carrera administrativa

Datos de información comercial

Datos económico-financieros

Datos de transacciones

Otros tipos de datos

2009

908

3.237

2.572

12.305

6.373

3.742

4.805

3.618

1.582

5.401

1.607

1.603

Total

17.126

26.140

18.762

95.696

52.370

27.264

30.275

33.962

12.203

45.167

19.662

14.827

DistriBUción De FicHeros De otrAs personAs jUríDico-pÚBLicAs



83

MEMORIA 2009

< índIcE >

DISTRIbUCIÓN DE FICHEROS CON DATOS SENSIbLES

Datos especialmente protegidos

Ideología

Creencias

Religión

Afiliación Sindical

Otros datos especialmente protegidos

Origen Racial

Salud

Vida Sexual

Datos relativos a infracciones

Infracciones Penales

Infracciones Administrativas

2009

908

475

360

381

770

3.237

1.437

3.219

479

2.572

902

2.499

Total

17.126

8.630

8.276

8.340

16.554

26.140

10.239

26.040

8.906

18.762

14.525

18.253

84


< índIcE >

DISTRIbUCIÓN DE FICHEROS SEgÚN SU FINALIDAD

Procedimiento administrativo

Fines científicos, históricos o estadísticos

Función estadística pública

Recursos humanos

Educación y cultura

Gestión contable, fiscal y administrativa

Gestión de nómina

Servicios sociales

Justicia

Hacienda pública y gestión de administraciones tributarias

Gestión sancionadora

Gestión y control sanitario

Padrón de habitantes

Trabajo y gestión de empleo

Gestión económica-financiera pública

Prevención de riesgos laborales

Seguridad y control de acceso a edificios

Historial clínico

Videovigilancia

Publicaciones

Seguridad pública y defensa

Actuaciones de fuerzas y cuerpos de seguridad con fines policiales

Investigación epidemiológica y actividades análogas

Prestación de servicios de certificación electrónica

Gestión del censo poblacional

Otras finalidades

Total

30.511

18.007

11.552

18.615

8.762

15.632

9.846

7.287

10.112

9.009

4.043

3.566

5.503

4.711

5.995

1.249

2.219

1.894

434

1.390

3.178

2.539

1.740

1.351

296

17.613

% sobre total

16,02%

13,88%

19,01%

11,21%

20,14%

7,87%

6,78%

8,22%

4,87%

4,65%

9,23%

10,40%

5,60%

6,52%

5,00%

22,66%

12,53%

12,88%

54,61%

14,89%

6,10%

6,07%

7,53%

6,59%

26,69%

21,41%

2009

4.889

2.499

2.196

2.086

1.765

1.230

668

599

492

419

373

371

308

307

300

283

278

244

237

207

194

154

131

89

79

3.771


85

MEMORIA 2009

< índIcE >

Estados UnidosLatinoamérica

PanamáColombia

ChileUruguay

PerúGuatemala

ParaguayBrasil

El SalvadorCosta RicaNicaragua

MéxicoIndia

Otros paísesMarruecos

SingapurJapón

MalasiaTailandiaFilipinas

ChinaHong Kong

EgiptoNigeria

TúnezSudáfricaAustralia

CanadáRep. Bielorrusa

MónacoIsrael

Solicitudespresentadas

ArchivadasTOTAL AUTO.

TotalAuto.

152132

2302610323

104121

116777194362

1382111381311

617182405

2000

1

------------

1----------------

2-2

2001

9

------------

-----------------

9-9

2002

2

------------

-----------------

2-2

2003

6

------------

-----------------

19136

2004

40

------------4

21---------------

566

47

2005

9

2111---------

2-111------------

451619

2006

16

-471411-----3

21-1-311---------

541746

2007

10

-9915-11111

2

1211111-111-11---

1276843

2008

31

-4144143-1

330

3----53----3--3--

13742

103

2009

26

1283

1914----8

28

8-13-431----7-

11

16620

128

trAnsFerenciAs internAcionALes De DAtos

resoluciones de autorización

86


< índIcE >

AñO DE INSCRIPCIÓN

1994

1995

1996*1997-1998

1999

2000

2001

2002

2003

2004

2005

2006

2007

2008

2009

TOTAL

Titularidad Privada

7

4

1

0

3

12

15

27

79

109

242

422

4.802

9.252

22.060

37.035

Titularidad Pública

2

0

0

0

0

0

0

0

0

3

0

14

87

186

286

578

Total

9

4

1

0

3

12

15

27

79

112

242

436

4.889

9.438

22.346

37.613

FicHeros De viDeovigiLAnciA

* 1997-1998. Años sin actividad de registro de ficheros de videovigilancia.


87

MEMORIA 2009

< índIcE >

ACTIVIDAD PRINCIPAL

Comercio Turismo y hosteleria

Comunidades de propietariosSanidad

Industria quimica y farmaceuticaConstruccion

Actividades relacionadas con los productos alimenticios, bebidas y tabacosTransporteSeguridad

Actividades inmobiliariasServicios informaticos

Maquinaria y medios de transporteEducacion

Sector energeticoActividades relacionadas con los juegos de azar y apuestas

Asociaciones y clubesProduccion de bienes de consumo

Contablidad, auditoria y asesoria fiscalServicios de telecomunicacionesActividades de servicios sociales

Actividades diversas de servicios personalesAgricultura, ganaderia, explotacion forestal, caza, pesca

Entidades bancarias y financierasActividades juridicas, notarios y registradores

Comercio y servicios electronicosActividades de organizaciones empresariales, profesionales y patronales

Seguros privadosOrganizacion de ferias, exhibiciones, congresos y otras activ. relac.

Investigacion y desarrollo (i+d)Inspeccion tecnica de vehiculos y otros analisis tecnicos

Publicidad directaActividades politicas, sindicales o religiosas

Actividades postales y de correo (oper. postales, serv. post., transport.Mutualidades colaboradoras de los organismos de la seguridad social

Seleccion de personalSolvencia patrimonial y credito

Otras actividadesTOTAL

Ficheros

7.325 4.7492.7122.2731.0551.02299779969869360857555950541140936636335730928627622619017412912255505049423016125

8.53837.035

FicHeros De viDeovigiLAnciA De titULAriDAD privADA

88


< índIcE >

5. presenciA internAcionAL De LA AepD

coMisión eUropeA

Sesiones Plenarias GT29 en Bruselas – 5 10 y 11 de febrero. 7 y 8 de abril. 16 y 17 de junio. 12 y 13 de octubre. 30 de noviembre y 1 de diciembre.

Reuniones de Subgrupos en la Comisión Europea (Bruselas) a las que asiste la AEPD – 18 Subgrupo de Tecnología (22 de enero y 16 de diciembre). Subgrupo Cláusulas contractuales (15 de enero). Subgrupo Ad Hoc Programa de Trabajo (30 de enero). Subgrupo FEDMA (17 de febrero). BCR y Safe Harbour, adecuación de terceros paises (18 de marzo y 16 de septiembre). Cumplimiento y aplicación de la Legislación (“enforcement”) (25 de junio). Subgrupo WADA (18 de febrero). Subgrupo responsable-encargado (20 de febrero y 25 de septiembre). Subgrupo asuntos financieros (30 de junio y 15 de diciembre). Subgrupo datos de viajeros (8 de julio). Subgrupo de futuro de la privacidad (22 de julio, 4 de septiembre, 6 de octubre y 10 de noviembre).

Reunión del Boureau del Comité Consultivo del Consejo de Europa. (09-10 de febrero, Estrasburgo, Francia). Plenario del Consejo de Europa. (3-5 septiembre, Estrasburgo, Francia).

consejo De eUropA

ACC del Convenio de Schenguen (24 de marzo y 23 de junio, Bruselas, Bélgica). ACC del Convenio de Europol (23 de marzo y 22 de junio, Bruselas, Bélgica). ACC Sistema de Información Aduanero (24 de marzo y 23 de junio, Bruselas, Bélgica). ACC Eurodac (25 de marzo y 24 de junio, Bruselas, Bélgica). Grupo de Trabajo de Policía y Justicia (24 de marzo y 24 de junio, y Bruselas, Bélgica y 11 septiembre, Roma). EUROJUST (12 de febrero, 4 de abril y 23 de junio, La Haya). EURODAC (18 de diciembre).

consejo De LA Unión eUropeA – 15


89

MEMORIA 2009

< índIcE >

Grupo de trabajo de privacidad y seguridad (10 de marzo, Paris). Grupo de trabajo de privacidad y seguridad (13 de octubre, Paris).

ocDe - 2

Grupo de telecomunicaciones de Berlín: (2) 12 y 13 de marzo, Sofía (Bulgaria). 5-6 septiembre, Berlín (Alemania).

Grupo del Taller de Reclamaciones: (1) 12 y 13 de marzo, Praga (Rep. Checa).

Grupo de Trabajo de la Comisión sobre Retención de datos 3 de diciembre, Bruselas

grUpos De trABAjo sectoriALes - 4

Programas de Hermanamiento (Twinnings)

Israel: En 2008 la Agencia ha sido adjudicataria, tras competir con diversas Agencias de Protección de Datos Europeas, del primer proyecto de hermanamiento entre la UE y el Estado de Israel. El proyecto que va a hermanar a la Agencia con su homóloga Israelí (ILITA) está financiado por la UE con 1 mill. de euros y tiene una duración prevista de 18 meses. Su ejecución ha comenzado en Junio de 2009 y durante este ejercicio se han llevado a cabo las siguientes actividades: Realización de una conferencia internacional como inauguración del proyecto en la que se ha abordado la situa-

ción de la protección en Europa y en Israel. Seminario cuyo objetivo ha sido analizar el marco actual en materia de protección de datos en Israel. Definición y realización de una encuesta entre la población Israelí para conocer su grado de concienciación en

materia de protección de datos. Seminario sobre la definición e implantación de una estrategia de comunicación para la autoridad de protección

de datos Israelí. Seminario para establecer una metodología común para la realización de diferentes guías sectoriales en Israel.

reLAciones BiLAterALes

90


< índIcE >

13 de mayo. Madrid (España)Seminario “El Derecho a la Protección de Datos Personales: la situación actual en los países iberoamericanos”. Se enmarca dentro del Máster Oficial en Derecho de la Facultad de Derecho de la Universidad Alcalá de Henares.

26-28 de mayo. Cartagena de Indias (Colombia)I Seminario Euro-Iberoamericano de Protección de Datos: “La Protección de los Menores”. Coordinado y organizado por la AEPD y la AECID. Con motivo de este seminario se celebró una reunión del Comité Ejecutivo de la Red Ibero-americana para coordinar los temas de actualidad y de organización de futuros eventos.

3 de noviembre. Madrid (España)Celebración del VII Encuentro Iberoamericano de Protección de Datos en la Casa de América. Asisten representan-tes de las autoridades de protección de datos, transparencia y acceso a la información pública de 20 países miem-bros de la Red Iberoamericana. En la jornada de tarde se celebró el I Encuentro entre la Red Iberoamericana de Protección de Datos y la Asociación Francófona de Autoridades de Protección de Datos, asistiendo representantes de 26 países y Principados, miembros de esta Asociación, miembros de la Comisión Europea y representantes del Supervisor Europeo de Protección de Datos.

iBeroAMÉricA

Conferencia Europea de Autoridades de Protección de Datos, 23-24 de abril, Edimburgo. Reunión de la Internacional Association of Privacy Professionals (IAPP),12 y 13 de marzo, Washington. Taller de la Federal Trade Commission sobre Data Security, 16 de marzo, Washington. Conferencia EPOF, 18 de marzo. Conferencia Data Breach Notification Laws in Europe, 22 de abril, Edimburgo.

conFerenciAs internAcionALes

Seminario para abordar la problemática del sector de las telecomunicaciones en Europa en general y en Israel en particular. Elaboración de una guía sobre la protección de datos en el sector de las telecomunicaciones en Israel.

Seminario para abordar la problemática en el ámbito laboral en Europa en general y en Israel en particular. Elaboración de una guía sobre la protección de datos en el ámbito laboral en Israel.

Realización de una visita de estudio del Comité de Dirección de ILITA a la Agencia con el fin de conocer in-situ su estructura y funcionamiento.

Las actividades anteriores han contado con la participación de expertos de la Agencia española así como de exper-tos procedentes del sector público y privado del Reino Unido, Francia, Italia, Grecia y Eslovenia.


91

MEMORIA 2009

< índIcE >

visitAs institUcionALes

De otras delegaciones a la AEPD Visita de representantes del Senado de Francia, 13 de febrero Madrid. Visita de la delegación de funcionarios de Bosnia Herzegovina, 2 de junio, Madrid. 27 de marzo: Visita Comisionados del Instituto de Transparencia y Acceso a la Información Pública del Estado

de México. 25 mayo al 19 junio: Pasantía realizada por dos representantes de la Agencia para el Desarrollo de la Sociedad

de la Información en Bolivia (ADSIB). 22-23 de junio: Visita de una delegación del gobierno y del Consejo para la Transparencia chileno. 15 de julio: Visita del Agregado Comercial de la Embajada de Guatemala en España. 17 de julio: Visita de una delegación representativa de diferentes instituciones del gobierno brasileño.

Otras High Level Meeting de Propuesta Conjunta de Estándares Internacionales. Barcelona, 12 de enero. High Level Meeting de Propuesta Conjunta de Estándares Internacionales. Bilbao, 11 de junio. World Anti-Doping Agency- Consejo Superior de Deportes, (23 de abril). Reunión sobre Estándares Internacionales de Privacidad con el Supervisor Europeo de Protección de Datos (Bruselas, 8 de julio). Reunión sobre Estándares Internacionales de Privacidad con el Supervisor Europeo de Protección de Datos en la CNIL (Paris, 9 de julio). World Anti-Doping Agency y CAHAMA Consejo Superior de Deportes, (14 de septiembre, Madrid). DG de la Sociedad de la información (15 de octubre, Madrid). Reunión Safe Harbour. Reunión del Grupo de Trabajo de Standard – Setting, Banco Mundial (22 de septiembre, Madrid).

Conferencia “Personal data - more use, more protection?” 19-20 mayo, Bruselas. Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. 4-6 noviembre, Madrid. Conferencia sobre “Safe-Harbour- Flujos transfronterizos de datos, protección de datos y privacidad”, organizada por el Departamento de Comercio de los Estados Unidos, 16-18 de noviembre. Conferencia “The Public Voice – Estándares Globales sobre Privacidad en un Mundo globalizado”, 3 de noviembre en Madrid.

92


< índIcE >

6. secretAríA generAL

recUrsos HUMAnos

PERSONAL a 31/12/2009

Dotación

Funcionarios 158

Laborales 8

Alto cargo 1

Efectivos

Funcionarios 147

Laborales 7

Alto cargo 1

NIVEL

Efectivos 2009

30

5

29

3

28

19

26

45

24

2

22

14

20

3

18

12

17

2

16

7

15

12

14

23

gRUPO

Efectivos 2009

A1

27

A2

48

b

-

C1

23

C2

49

gRUPO

Hombres

Mujeres

TOTAL

67

88


93

MEMORIA 2009

< índIcE >

evoLUción DeL presUpUesto De LA AgenciA espAÑoLA De protección De DAtos DUrAnte Los ejercicios 2006 A 2009

I

II

III

VI

VIII

TOTAL

Crédito ejer.2006 (euros)

3.896.313,16

4.626.725,42

122.400,00

1.124.600,00

6.380,00

9.776.418,58


3.970.471,82

5.094.745,78

5.998,51

1.471.340,00

10.000,00

10.552.556,11


5.292.866,85

6.189.248,11

47.555,34

1.900.770,00

10.000,00

13.440.440,30


6.692.929,00

6.701.771,00

12.290,00

1.900.770,00

10.000,00

15.317.760,00

CAPíTULO

AnnUAL REPORT 2009

< índIcE >

SPANISH DATA PROTECTION AgENCY. CURRENT SITUATION AND FUTURE PERSPECTIVES

< índIcE >

A. greAter sociAL AwAreness regArDing tHe risks oF internet

In order for citizens to benefit from effective protection in the use of their personal data not only must they know the rights which the regulations recognise for them and the manner in which these may be exercised but they must also keep their degree of awareness “up-dated” in the light of the new risks that affect their privacy, foremost among which are those generated by technological development and the new Internet services.

The data of the Sociological Research Centre (CIS) barometer for September 2009 on trust in the Internet reveal that 56% of citizens think that security and privacy in the Web is low or very low, con-firming that citizen concern regarding the risks of the Internet is a confirmed reality.

The Spanish Data Protection Agency (AEPD), for its part, has redo-ubled its efforts to improve the knowledge of citizens on this subject and to make measures available to avoid the risks. In this respect, it has carried out a joint study with the National Institute of Infor-mation Technologies (INTECO) on the privacy of personal data and security in online social networks and has updated a guide with re-commendations to Internet users which analyses the main risks that are currently present in the Web.

But there is no doubt that mass media have played a decisive role in raising citizen awareness, focusing on the impact of new technolo-gies on the privacy of individuals and, specifically, on the risks asso-ciated with services such as social networks. The AEPD has recog-nised this work of dissemination by granting its 2009 communication and dissemination awards to programmes such as “12 months 12 causes” by the television channel Telecinco, the weekly section on data protection on Radio 5 Todo Noticias and a documentary project to inform minors with regard to new technologies.

1. A More inForMeD society More conscioUs oF its rigHts

B. citizens, More AwAre oF tHeir rigHts

The CIS barometer indicates that citizens have more and more knowledge of their rights. Thus, the concern for data protection and the use of personal information has grown, reaching 74.1% of those surveyed. The percentage of citizens who know of the exis-tence of the Spanish Data Protection Act (LOPD) is around 50%, and the same occurs with the AEPD as the organisation that gua-rantees their rights, which for the first time exceeds the 50% ba-rrier.

The greater awareness by citizens is resulting in a growing demand for the guarantee of their rights. A significant example is the growth of almost 34% in the number of consultations placed with the Citizen Attention Service, by telephone, in person or in writing, approaching in 2009 the figure of 100,000. Likewise, visits to the web page of the AEPD increased by 700,000 compared to 2008, reaching 3,000,000, which means a daily average of 8,214 visits. The number of consul-tations of the General Data Protection Register has also experien-ced considerable growth in the last 12 months, the total figure being around 2.5 million.

The analysis of the consultations placed indicates that video-sur-veillance has become one of the outstanding concerns of citizens, combined with advertising and credit reporting, or information re-garding access to medical records. But other doubts are beginning to gain relevance, regarding what to do so that personal data disappear from a web page, whether it is obligatory to register the geolocation files of employees, or whether Bluetooth scanning which reports in-formation on mobile telephones is included in the LOPD.

A survey by the AEPD reveals that almost 90% of citizens declared that they felt satisfied or very satisfied with regard to the waiting time in order to be assisted and regarding the attention received. The satisfaction index regarding the information received, the knowledge and manner of the helpline operator of the AEPD varies between 99.88% and 100%.

98

SPANISH DATA PROTECTION AGENCY. CURRENT SITUATION AND FUTURE PERSPECTIVES

< índIcE >

c. new concerns: How Do i DisAppeAr FroM A weB pAge? MUst i resign MyseLF to Being visiBLe in tHe internet? How Do i exercise My rigHt to oBLivion?

The AEPD observes that the greater knowledge of data protection regulations corresponds with more active behaviour by citizens in the exercise of their rights before those who process their personal information. In this respect, an increase of almost 14% can be appre-ciated in requests for the safeguard of rights, in the region of 2,000. Requests for erasure of data or object to their processing by Internet browsers, still not very numerous, have increased by 200%.

In the light of the question, Must I bear being visible in the Internet? the reply is no. The decisions pronounced by the AEPD take the line of requiring that the necessary measures be adopted to avoid the indexing of personal data, likewise taking into account the possible actions that webmasters may adopt to make effective the right re-quested by the individual.

But, aside from these matters, the main questions that citizens con-tinue to ask are: Who has my data? How can I erase them? This is shown by the considerable increase in the decisions relating to the safeguard of the rights of access (59%) and erasure (40,8%), these latter adding up to a total of 1,366 decisions. Another new develop-ment is the sharp increase in decisions regarding the right to object (470%).

99

AnnUAL REPORT 2009

< índIcE >

A. FAciLitAte coMpLiAnce witH tHe LAw: A gUArAntee For citizens

Informative policy has been intensified in the conviction that facilita-ting compliance with the law results in an increase in the guarantees to citizens. Thus, in January 2009 the 2nd Annual Open Session was held, which was attended by around 700 participants and the cata-logue of practical guides has been expanded, publishing new edi-tions with recommendations to Internet users, video-surveillance and data protection in the workplace and, in English, the guides on video-surveillance and the rights of boys and girls and the duties of fathers and mothers.

The Helpline continues to be a very useful channel in the informative policy of the Agency, as is shown year after year by the increase in consultations. The Legal Department, for its part, attended to a total of 679 consultations, of which 359 (54%) were placed by the Public Administrations and 313 (the remaining 46%) by the private sector.

These policies continue to give results. In 2009, almost 400,000 fi-les were registered in the General Data Protection Register (RGPD), which implies an increase of over 50% compared to 2008, reaching a total figure of 1,647,756. One contribution to this increase has been the simplified file notification system NOTA, which facilitates noti-fication via the Internet, something which is used in almost 90% of manual notifications. Furthermore, the use of digital certificates is gaining ground, to the point that this format is used in one in five notifications.

The increase in registrations is strongest in the private sphere, which has grown by 63%, whilst in the public sector an increase of almost 50% can be highlighted in Local Administration files, owing to which the files of municipalities in the RGPD represent almost 96% of the Spanish population.

The offer of new channels to facilitate compliance with the law has given a qualitative leap in the EVALÚA program, an online self-test for self-assessment of compliance with the LOPD for companies and

2. gUArAntee eFFective AnD eFFicient coMpLiAnce witH tHe LopD

local authorities, which offers free of charge answers to the doubts which habitually confront those who process personal data.

B. A perMAnent zeAL For LegAL certAinty

The AEPD has continued working to achieve greater legal certainty via its mandatory opinions on provisions of general application. 100 provisions have been reported on, such as the draft bills on money laundering and the financing of terrorism, or that of simplification of information and intelligence between the security services of the Member States of the EU. Opinions have also been prepared on the agreements of the EU with Australia and the USA regarding the processing and transfer of EU sourced Passenger Names Records (PNR).

Moreover, the analysis of the degree of legal certainty in the appli-cation of the LOPD obliges contemplation of the extent to which the decisions of the AEPD are ratified or revoked by the Courts. In rela-tionship with the appeals regarding the erasure of data in the Bap-tism Records of the Catholic Church, during 2009 99 rulings have been issued in the first instance by the Spanish National Court (29% of the total) and the Supreme Court has judged 163 appeals (more than 90% of the total) in the sense upheld in its ruling of 19 Septem-ber 2008.

Not including the rulings mentioned, in 2009 the contentious-admi-nistrative chamber of the Spanish National Court and the Supreme Court have issued 240 and 19 rulings, respectively. Regarding the rulings of the National Court:

162 dismissed the appeals brought against decisions of the Agency (which were fully confirmed) (68%).

17 partially upheld the appeals (7%).

61 wholly upheld the claims to set aside the decisions of the Agency (25%).

100


< índIcE >

For its part, and also without referring to the rulings on the Baptism Records of the Catholic Church, the Supreme Court ratified the cri-teria of the Agency on 16 of the 19 occasions on which the matter was subjected to its judgment.

c. A growing DeMAnD For gUArAntees: An Active response By tHe Agency

The number of claims brought before the AEPD in 2009 has caused an increase of 75% in the actions brought, exceeding 4,100 (where telecommunications, financial institutions and video-surveillance have been the main sectors investigated).

However, in decisions on sanction procedures against private or-ganisations, telecommunications and financial institutions, despite occupying the first and third place based on the number of procee-dings, have decreased by 10.34% and 21.26% respectively. On the other hand, private video-surveillance for security reasons rises to second place, with a 229.55% growth on the previous year. The deci-sions which declare a breach of the LOPD by the Public Administra-tions have increased by around 12.5%.

The amount of the sanctions imposed amounted to 24,872,979.72 euros. Although this figure represents an increase of 12.99% com-pared with the previous year, it is close to the volume of sanctions declared in the year 2006, with the relevant difference that the num-ber of sanction procedures resolved in 2009 is higher than that of 2006 by 235%. It is precisely the considerable increase in sanction procedures and not the sum of the sanctions declared that explains the figure of the sanctions imposed. Minor sanctions are those which present the greatest increase (44.76%), whilst serious ones remain stable and very serious sanctions decrease by almost 6%. Regarding the total of the sanctioning decisions, a qualified reduction of the liability of the offenders can be seen in 40.72% of the cases.

Analysing the data that have been presented it is appropriate to con-clude that the quantitative increase in the sanctions, a consequence of the previous increase in complaints, does not hinder appreciation of the improvement in compliance with the LOPD, with the growth in breaches for reasons of form, the reduction of very serious breaches and the reduction of liability when a breach is committed.

The 2008 Annual Report included citizen concern regarding the re-ceipt of advertising by telephone. To give an efficient response to this question, the AEPD has promoted, together with the Spanish Fede-ration of Electronic Commerce and Direct Marketing (FECEMD), a new opt-out file so that those who do not wish to receive advertising may express this and choose the channels via which they wish to re-ceive advertising, whether by post, e-mail, SMS, MMS or telephone. From the information requested from FECEMD the number of per-sons registered in the Robinson List service amounted to more than 110,000 at 31 December 2009. The implementation of the service is a palpable demonstration of the efficiency of the preventive policies and collaboration with those obliged by the LOPD to increase the guarantees to citizens.

Furthermore, in an environment of economic crisis such as that which developed during 2009, an exponential increase has taken place in actions deriving from or related to claims for default.

Mention must also be given to the very considerable increase in the invoking by citizens of the defence mechanisms granted by the LOPD in the light of undue processing of their personal data in the sphere of creditworthiness. The number of procedures for the protection of data subjects’ rights brought on this matter increased by 570% and that of preliminary actions prior to possible sanction proceedings by 225%. In the sphere of the assignment of receivables between companies, also known as sale of debt, various sanction procedures have been resolved which have derived in the imposition of sanctions that have reached up to 420,000 euros. Likewise, it is appropriate to highlight the existence of various complaints against possible prac-tices which violate the duty of secrecy in actions of recovery, via the disclosure of the debt to family members or relatives to force the collection of an allegedly owed sum.

101

AnnUAL REPORT 2009

< índIcE >

A. internet. new services, new cHALLenges

The consideration for the free use that users make of Internet ser-vices is the unilateral establishment of term and conditions by the service provider. Therefore, priority should be given to those active policies aimed to establish relations with the providers of these ser-vices. In this respect, the AEPD has communicated to Facebook and Tuenti the recommendations of the study prepared with INTECO, in-sisting on the improvement of privacy policies so that they offer clear and understandable information, and on the need to set up privacy policies by default and erase all the contents of the profile as soon as unregistration is requested.

In 2009 156 proceedings were brought regarding preliminary pro-ceedings specifically related to services provided via Internet. A new aspect is the fact that 18 of these proceedings were instituted as a consequence of 31 complaints related with users of the social net-works Facebook and Tuenti, the majority referring to the dissemina-tion of photographs of third parties without their consent.

The majority of the rest of the actions are also related with the un-authorised dissemination of personal data via Internet: 37 of them refer to forums or blogs, 13 to video hosting services, fundamentally Youtube, and 38 to other types of web site such as corporate sites, collections of law reports or personal sites. Another 28 claims are related to advertisement web sites, online dating services or elec-tronic mail services. In the majority of cases they are related with the unauthorised dissemination of data.

Likewise, 10 of the actions deal with incidents of various types related with online shopping or with electronic commerce operations. Fina-lly, it is appropriate to mention 5 preliminary proceedings brought in relation to web search engine services and the location of personal information in directories or in people search engines.

3. privAcy At risk: tHe Big qUestion-MArks

B. Minors. A necessAry protection in tHe LigHt oF tHeir growing presence in tHe weB

The use of social networks has become a habitual activity for the social development of minors, to whom they offer access to a new means for contacting each other. The risk for them is that, to a great extent, they start out with a basic educational deficit regarding the lack of knowledge of how to exercise real control over their infor-mation.

Data protection regulations do not allow minors under the age of fourteen to register as users of a social network without the consent of their parents. The Agency has assumed compliance with this obli-gation as a priority. In fact, in the meetings held with those respon-sible for Tuenti and Facebook, the control of access by minors has been a permanent demand.

In reply to the demands of the AEPD, Tuenti presented an age veri-fication system that analyses the profiles of suspect users, erasing those who do not prove that they are 14 years old. Likewise, it has undertaken to strengthen the purging processes of existing profiles and to develop systems for the verification of new suspect profiles. Furthermore, it has issued information regarding the modification of the privacy policy, establishing by default the maximum level of pri-vacy for users under the age of 18. Likewise, the Agency requested those responsible for Facebook to increase the age limit to 14 years for users in Spain.

However, it is necessary to incorporate in syllabi adequate training on data protection and privacy, as well as for Public Administrations and schools to make technologies available to pupils that limit ac-cess to Web services by the under-14s. In this context, the electronic Identity Document is proving to be one of the most efficient instru-ments for accrediting age in the Internet. This Agency considers it to be extremely important that the adequate initiatives be implemen-ted in order for over-14s to have the digital means available to allow them to prove that they have the required age to give their consent to the processing of their data.

102


< índIcE >

c. viDeo-sUrveiLLAnce: Living witH gUArAntees

Video-surveillance for security reasons has become an omnipresent reality. Each year significant growth takes place of video-surveillan-ce files, as in 2009, when the files registered in the General Data Protection Register which declare this purpose increased by around 240% in the private sphere exceeding the figure of 37,000. In the pu-blic sphere the increase was 60% with a total of 578 files.

The 2009 survey of the CIS reflects that 68.7% of citizens are in fa-vour of their installation, whilst 10% are against. However, more and more people lodge complaints of breaches of the LOPD in relations-hip with video-surveillance, where the sanction procedures resolved have increased by 230%.

Furthermore, the recent enactment of the Act 25/2009, of 27 Decem-ber, for the modification of various laws for their adaptation to the Act on free access to service activities, has extended the legitimisa-tion for the installation and use of video-surveillance devices. This will presumably give rise to a reduction of the sanctioning decisions of the AEPD, the said fault of legitimisation being one of the most frequent breaches.

Regarding cameras that allow images to be transmitted via the Inter-net, the AEPD carried out a sectoral inspection, noting that the ma-jority allow identification of the persons filmed. The main deficiency detected is that, habitually, the control mechanisms for access to the images are disabled by the manufacturer or are activated with a de-fault username and password. The lack of diligence in access control causes a vulnerability that allows access by third parties by leaving the camera in an “open door” situation. A catalogue of recommen-dations is offered, among them the need to activate the control of access to the images with username and password. The inspection has led to the bringing and resolution of 7 sanction procedures.

D. eMpLoyMent context: BALAnce Between rigHts AnD oBLigAtions

The variety of processing of personal data carried out in the emplo-yment sphere has led the AEPD to prepare a guide on data protec-tion in companies, to provide an answer to practical aspects which

103

AnnUAL REPORT 2009

companies must habitually confront, suggesting criteria that allow compliance with personal data protection regulations. The guide includes specific recommendations on the processing of specially protected data, in particular, those on health and trade union mem-bership, as well as the guarantees that should be observed in occu-pational risks-prevention.

Although not necessarily dealing with personal data, it also incor-porates recommendations so that the implementation of internal whistleblowing schemes in the company is carried out while gua-ranteeing the protection of the employees. The chapter dedicated to employer controls indicates the rules applicable to biometric con-trols, video-surveillance in the workplace or on the use of technolo-gical tools provided by the employer and, also, those related to the control of occupational absenteeism.

e. internAtionAL DAtA FLows. FLexiBiLity AnD gLoBALisAtion

International data transfers from Spain have globalised and reach all the geographical areas of the world. The number of authorisations increased by 25%, the USA being the first destination country, des-pite the reduction in the number of transfers. Strong growth can be seen of over 100% to Latin-American countries (132 authorisations), whilst Asia maintains a constant volume of authorisations (115). In the African continent international transfers focus on Morocco (19) and the Republic of South Africa (3) and Australia appears as an emerging destination

The search for more flexible procedures for the authorisation of in-ternational transfers has advanced in 2009. The AEPD authorised the first transfer based on binding corporate rules (BCR) and has participated via a coordinated procedure in ten requests with this type of guarantee presented before other Authorities of the Euro-pean Union.

To conclude, it can be affirmed that we are witnessing a constant in-crease in international data flows with a great weight of the deloca-lisation of services and with more flexible authorisation procedures. From this we can deduce the urgent need to achieve binding stan-dards to guarantee the protection of privacy in a globalised world.

< índIcE >

In 2009 the AEPD organised the 31st International Conference of Data Protection and Privacy Authorities – the largest forum dedicated to privacy at world level and a meeting point between data protection authorities and guarantors of privacy from the whole planet, as well as representatives of public and private bodies and civil society – converting Madrid into the world privacy centre between 2 and 6 November. It was attended by more than 1,000 people from 83 coun-tries.

This Conference, inaugurated by their Highnesses the Prince and Princess of Asturias, took place in the Congress Palace of Madrid, under the slogan “Privacy: today is tomorrow”. The nearly one hun-dred speakers, divided into twenty sessions, included the Spanish Interior Minister, Alfredo Pérez Rubalcaba and the Secretary of Ho-meland Security of the United States, Janet Napolitano, Martin Co-oper (inventor of the mobile telephone), Vinton Cerf (co-inventor of the TCP/IP family of Internet protocols) as well as the Minister of In-dustry, Commerce and New Technologies of Morocco, Ahmed Reda Chami. However, the greatest achievement of this edition has been to manage to advance towards a universal and binding legal instru-ment on the subject of privacy, that contributes to a greater pro-tection of individual rights and freedoms in a globalised world and which benefits from the widest institutional and social consensus.

Via the adoption of the designated “Resolution of Madrid”, a large step was taken along this line: the “Joint proposal for a Draft of In-ternational Standards for the Protection of Privacy with regard to the Processing of Personal Data”. This proposal aims, on the one hand, to promote the right to data protection and privacy internationally, offering a model of regulation that guarantees a high level of protec-tion and which, at the same time, may be assumed in any country; on the other hand, it seeks to facilitate the flow of personal data at international level, trying to mitigate the existing obstacles.

Despite not being an international agreement or a legally binding regulation, its value as a reference text is justified not only by the ample participation of the international data protection and privacy community in its preparation, but also because it includes elements that are present in all the valid data protection systems currently in force, as well as by the fact that it has been backed by all the Autho-rities that attended the International Conference. Therefore, the pro-motion and dissemination of this text among private bodies, experts and national and international public organisations will be one of the priorities of the AEPD during the year 2010.

104


4. 2009: MADriD, worLD privAcy cApitAL. tHe MADriD resoLUtion: A Meeting point For A gLoBAL regULAtion

< índIcE >

A. treAty oF LisBon

The Treaty of Lisbon, which came into force on 1 December 2009, includes the Charter of Fundamental Rights of the European Union, which recognises, reinforces and makes binding the rights, free-doms and principles of the Member States of the Union. The Charter contains two articles on the subject of privacy and data protection which mark an important consolidation of the data protection legis-lation of the UE.

Among other new innovations it creates a common framework for all the activities of the Union, abolishing the old division, this change of structure also being reflected in the data protection sphere. Until now, although data protection benefited from harmonisation in the sphere of the first pillar of the European Community, it was not so in the activities carried out in the framework of the third pillar, that relative to police and legal cooperation on criminal matters. In sum-mary, the new legal framework of the EU is a challenge for the data protection authorities, which will have to review the rules in force and assess the legislators in the taking of decisions in the new fields of activity.

B. stockHoLM progrAMMe

The Stockholm Programme on the European Area of Freedom, Se-curity and Justice was approved in the last meeting of the Council of Ministers of the Swedish Presidency of the European Union, on 12 and 13 December. This Programme recognises the protection of the fundamental rights and, in particular, the protection of personal data. It also establishes that the EU should have a single system of personal data protection that includes a European certification mo-del for technologies, products and services that protect privacy.

In this line, the Conference of European Data Protection Authorities, held in Edinburgh in April 2009, concluded that it is necessary to review the European data protection framework and analyse the le-

gislation in a globalised world, where the use of Internet and the development of electronic commerce and electronic government are centred on personal information.

c. FUtUre oF privAcy

The foreseeable repercussion, on the European legal framework on the protection of personal data, of the coming into force of the Treaty of Lisbon and the Stockholm Programme, is revealed in the imple-mentation by the European Commission of a project to analyse futu-re advances in the development of this fundamental right, which was followed by a public enquiry into its legal framework.

The Article 29 Working Party has prepared a document called “The Future of Privacy: Joint contribution to the consultation of the Euro-pean Commission on the legal framework for the fundamental right to the protection of personal data”, in which the European Autho-rities, and among them the AEPD, coincide in pointing out that the validity of the basic principles included in current legislation on the subject of data protection is beyond all doubt, despite the institutio-nal, technological and social changes. However, they also consider that the current legal framework can be improved with regard to its practical application.

During 2010 a group of experts will be convened who will issue a report in which they will set out the possible improvements that, in their opinion, should be introduced in community legislation on the subject of data protection.

105

5. keys For tHe DeveLopMent oF A new eUropeAn privAcy FrAMework

< índIcE >

106


A. onLine sociAL networks

In the month of June, the Article 29 Working Party (WP29) approved the Opinion on online social networking, distinguishing under which circumstances it can be considered that the users are taking part in a purely personal or household activity and, therefore, are not sub-ject to obligations on the protection of personal data, or when they may be liable for the information published.

In this respect, it considers that household exemption will not be applied when the social network is used as a collaboration platform for an association or a company, or when access to the information of the profile goes beyond self-selected contacts. In particular, when all the members who belong to the social network can access a pro-file or when it is possible to access the data using search engines, it is considered that access exceeds the personal sphere. Lastly, the application of household exemption is also limited by the need to guarantee the rights of third parties, especially with regard to sensi-tive data in the personal or household sphere. In cases in which the domestic exemption is not applicable, the users themselves may be responsible for breach of the LOPD.

On the other hand, the WP29 points out that the providers of social network services who, in many cases, develop applications for them, are responsible for the personal data that they handle, and, in that respect, they have a responsibility towards the users. In this context, it considers that all the necessary measures aimed at adequately protecting the information published on their platforms should be applied.

6. recent internAtionAL DeveLopMent

B. privAcy coDe oF tHe worLD Anti-Doping Agency

The preparation, by the World Anti-Doping Agency (WADA-AMA), of standards in privacy and data protection aimed at covering the processing carried out in the fight against doping, was another of the subjects tackled by the Article 29 Working Party. In its Opinion 4/2009 it concludes that the version adopted required a series of improvements in aspects such as the presumable lack of freedom of the sportsmen and women when consenting to the processing of their data, in the framework of anti-doping controls, the retention periods of the data of the analyses performed and the inexistence of an efficient procedure for the control of compliance with the stan-dard.

After a series of meetings, WADA-AMA adopted a new version of its standards, incorporating a large number of the suggestions con-tained in the opinion of the WP29. The different improvements in-troduced contributed to their being better adapted to the levels of protection required by Spanish and Community legislation and, con-sequently, to a greater protection of the data used for the prevention of doping at world level.

c. opinion on tHe proposALs AMenDing oF Directive 2002/58/ec

The WP29 formulated Opinion 1/2009 on the proposals amending Di-rective 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector. The document expressed their concern regarding other matters, such as the notification of security breaches and its expansion to in-formation society services, types of breaches that should be notified, persons to whom these breaches can be notified or the affirmation that traffic data are subject to data protection legislation.

< índIcE >

D. tHe iBero-AMericAn DAtA protection network

The activity of the Ibero-American Data Protection Network has cen-tred on the development of the strategic lines marked in the 6th Mee-ting of 2008. From the organisational point of view, in May a meeting

was held in Cartagena de Indias of the Executive Committee of the Ibero-American Network and the specific web site of the Network has been designed, in operation since November 2009. In addition, the 7th Meeting of the Network was held during the days prior to the 31st International Conference.

107

AnnUAL REPORT 2009

The collaboration between the Agencies in 2009 had as its main mi-lestone the holding in Madrid of the 31st International Conference of Data Protection and Privacy. In fact, the Autonomous Agencies collaborated actively with the AEPD in the preparation of the “Joint

A. regULAtory

Modify the regulations of the electronic identity card so that mi-nors may authenticate themselves electronically although not sign electronically.

B. execUtive

Take every precaution in the exercise of the work of recovery of debts for the complete safeguard of the professional secret re-garding the data of the alleged debtors.

Promotion by Professional Associations of mechanisms that allow the deposit of the information of the data subjects in the case of death or disappearance of data controllers correspon-ding to their professional sphere.

The inclusion in primary and secondary school syllabi of trai-ning on data protection, privacy and Internet, as well as making available to pupils computer tools that prevent access by under-14s to Internet services for which the consent of their parents or guardians is required.

7. cooperAtion witH tHe AUtonoMoUs coMMUnity DAtA protection Agencies

8. recoMMenDAtions

proposal for a Draft of International Standards for the Protection of Privacy with regard to the Processing of Personal Data” and their directors intervened as speakers in various working sessions of the 31st Conference.

< índIcE >

© AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOSD.L.: M-22850-2010

Diseño Gráfico: www.ardifusion.comImpresión: www.cpg.com

< índIcE >

MEMORIA 2009 - AEPD · La Memoria 2009 incorpora la información más destacada y ofrece un...

Documents

Transcript of MEMORIA 2009 - AEPD · La Memoria 2009 incorpora la información más destacada y ofrece un...